KR101156005B1 - 네트워크 공격 탐지 및 분석 시스템 및 그 방법 - Google Patents

네트워크 공격 탐지 및 분석 시스템 및 그 방법 Download PDF

Info

Publication number
KR101156005B1
KR101156005B1 KR1020090125192A KR20090125192A KR101156005B1 KR 101156005 B1 KR101156005 B1 KR 101156005B1 KR 1020090125192 A KR1020090125192 A KR 1020090125192A KR 20090125192 A KR20090125192 A KR 20090125192A KR 101156005 B1 KR101156005 B1 KR 101156005B1
Authority
KR
South Korea
Prior art keywords
unit
honeypot
virtual
firewall
packet
Prior art date
Application number
KR1020090125192A
Other languages
English (en)
Other versions
KR20110068308A (ko
Inventor
김진철
엄익채
이기동
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020090125192A priority Critical patent/KR101156005B1/ko
Publication of KR20110068308A publication Critical patent/KR20110068308A/ko
Application granted granted Critical
Publication of KR101156005B1 publication Critical patent/KR101156005B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

악성 프로그램의 동작을 탐지하여 네트워크 공격을 차단할 수 있는 네트워크 공격 탐지 및 분석 시스템 및 그 방법이 개시된다. 교차 도메인 상에서의 데이터 접근 방법은, 외부로부터 사설 네트워크로 유입되는 트래픽 및 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽과, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부와, 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부 및 가상 하니팟부로 유입되거나 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함한다. 따라서 봇넷에 의한 분산 서비스 거부 공격 등과 같이 종래 시그너처 기반 기술로 대응하기 어려운 신종 악성 사이버 공격을 탐지할 수 있고, 하니팟에 대한 설치, 동작 개시, 동작 중단 및 설정 변경 등의 통합 관리 및 유지보수를 용이하게 할 수 있다.
Figure R1020090125192
네트워크, 사이버 공격, 공격 탐지, 하니팟, 가상 머신

Description

네트워크 공격 탐지 및 분석 시스템 및 그 방법{SYSTEM AND METHOD FOR NETWORK ATTACK DETECTION AND ANALYSIS}
본 발명은 네트워크 보안에 관한 것으로, 더욱 상세하게는 네트워크 공격 탐지 및 분석 시스템 및 그 방법에 관한 것이다.
분산 서비스 거부 공격(distributed denial-of-service attack; DDoS)은 복수의 네트워크에 분산되어 있는 대량의 컴퓨터가 일제히 특정 서버에 패킷(packet)을 송출해서 통신 선로 또는 처리 용량을 넘쳐나게 하여 서버 기능이 정지되게 하는 공격이다. 실제로 패킷을 보내는 컴퓨터의 관리자나 이용자에게는 공격의 의도가 없으나 외부의 악의적인 제3자(공격자, cracker)에 의해 컴퓨터를 조종 당해서 이용자가 인지하지 못하는 가운데 서버 공격에 협력하도록 하는 것이 특징이다.
공격자는 어느 하나의 컴퓨터 시스템의 취약점을 악용하여 그 시스템을 DDoS 마스터 시스템으로 만든 후, 그 마스터 시스템을 이용하여 DDoS 공격에 함께 동원될 다른 시스템들을 검색하는데, 이 과정에서 크래킹(cracking) 도구들을 다수의 시스템에 적재한다. 공격자는 자신이 제어할 수 있는 시스템들로 하여금 특정 표적 시스템에 대하여 공격을 개시하도록 지시하고, 그 결과 표적 시스템이 수용 가능한 이상의 다량의 패킷이 밀려 들어옴으로써 표적 시스템에서 서비스 거부(denial of service; DoS)가 유발된다.
최근에는 봇넷에 의한 대규모 분산 서비스 거부 공격이 사회적 또는 국가적 문제가 되고 있다. 봇넷(botnet)이란 악성 소프트웨어인 봇(bot)에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 각종 악성 행위를 수행할 수 있는 악성 프로그램인 봇(bot)에 감염된 수천 내지 수십만 대의 컴퓨터들이 네트워크로 연결되고, 봇들을 통제할 수 있는 봇 마스터(bot master)의 원격 명령에 의해 DDoS 공격, 스팸(spam) 발송, 키 로깅(key logging) 등의 다양한 공격을 실행하게 된다.
특히 봇넷은 컴퓨터 시스템의 알려진 취약점을 악용하여 보안 패치가 나오기 전까지의 기간 동안 네트워크 공격을 실행하는 제로데이 공격(zero day attack)을 일으켜 큰 피해를 발생시키고 있는데, 안티 바이러스 백신 프로그램(anti-virus vaccine program), 침입 탐지 시스템(intrusion detection system; IDS)이나 침입 방지 시스템(intrusion prevention system; IPS)과 같은 종래 네트워크 보안 기술은 대부분 시그너처(signature)라고 불리는 공격 패턴들의 데이터베이스에 기반하여 공격 여부를 판단하므로 봇과 같이 종래 알려지지 않고, 동적으로 변동하며, 은닉 기법까지 사용하는 신종 악성 프로그램을 방어하는 데에는 기술적인 한계가 있다.
따라서 본 발명의 제1 목적은 봇넷 등의 악성 프로그램의 동작을 탐지하여 분산 서비스 거부 공격 등의 네트워크 공격을 차단할 수 있는 네트워크 공격 탐지 및 분석 시스템을 제공하는 것이다.
따라서 본 발명의 제 2목적은 봇넷 등의 악성 프로그램의 동작을 탐지하여 분산 서비스 거부 공격 등의 네트워크 공격을 차단할 수 있는 네트워크 공격 탐지 및 분석 방법을 제공하는 것이다.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 본 발명의 기재로부터 당해 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상술한 본 발명의 제1 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템은, 외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽과, 상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부와, 상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부 및 상기 방화벽 뒤에 위치하고, 상기 가상 하 니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함한다.
상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격 여부를 판단할 수 있다.
상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 방화벽으로 하여금 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단케 할 수 있다.
상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단할 수 있다.
상기 하니팟 관리부 또는 상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 외부 네트워크 IP 주소, 내부 네트워크 IP 주소, 상기 내부 네트워크 IP의 포트 주소 및 패킷크기(Packet size) 중 적어도 하나를 판단하고, 판단된 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단할 수 있다.
상기 하니팟 관리부 또는 상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부의 유입 트래픽 및 유출 트래픽을 결정하고, 결정된 상기 가상 하니팟부의 상기 유입 트래픽 및 상기 유출 트래픽에 대한 상관분석 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단할 수 있다.
상기 상관분석은 유출 TCP FIN 트래픽에 대비한 유입 TCP SYN 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 TCP 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다.
상기 상관분석은 유출 트래픽에 대비한 유입 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 UDP 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다.
상기 상관분석은 유입 트래픽에 대비한 유출 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 ICM 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다.
상술한 본 발명의 제2 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법은, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 하니팟 호스트에 설치하고, 상기 적어도 하나의 가상 머신이 하니팟 기능을 수행하도록 설정하는 단계와, 상기 적어도 하나의 가상 머신으로 유입되거나 상기 적어도 하나의 가상 머신으로부터 유출되는, 네트워크 공격에 대한, 데이터를 수집하는 단계 및 수집된 상기 데이터에 기초하여 적어도 어느 하나의 상기 가상 머신에서 발생한 네트워크 공격을 탐지하는 단계를 포함한다.
상기 네트워크 공격 탐지 및 분석 방법은 상기 적어도 하나의 가상 머신의 동작 개시, 동작 중단, 설정 변경 및 제거 중 적어도 하나를 수행하는 단계를 더 포함할 수 있다.
상기 네트워크 공격 탐지 및 분석 방법은 적어도 어느 하나의 상기 가상 머신에서 네트워크 공격이 탐지된 경우 외부로부터 상기 적어도 하나의 가상 머신으로 유입되는 트래픽 및 상기 적어도 하나의 가상 머신으로부터 외부로 유출되는 트래픽 중 적어도 하나를 차단하는 단계를 더 포함할 수 있다.
상기와 같은 네트워크 공격 탐지 및 분석 시스템 및 그 방법에 따르면, 내부 및 외부 트래픽에 대해 실시간 감시 및 사후 감시하고 네트워크 트래픽 특성을 상관 분석함으로써 봇넷에 의한 분산 서비스 거부 공격 등과 같이 종래 시그너처 기반 기술로 대응하기 어려운 신종 악성 사이버 공격을 탐지할 수 있다.
그리고 방화벽이 외부로부터 하니팟으로 유입되는 트래픽은 허용하고 하니팟으로부터 외부로 유출되는 트래픽은 차단하여, 그 결과 수집된 데이터에 기초하여 행위 기반 알고리즘을 적용함으로써 봇넷의 표적 시스템 공격 및 봇 마스터와의 통신 등과 같은 신종 사이버 공격을 탐지하고 방화벽에 의하여 이를 차단할 수 있다.
나아가 하니팟을 가상 머신 형태로 구성하고 이에 대한 관리 서버를 둠으로써 하니팟에 대한 설치, 동작 개시, 동작 중단 및 설정 변경 등의 통합 관리 및 유지보수가 용이하다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 이하, 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
본 발명의 실시예에 대하여 설명하기에 앞서, 본 발명에서 사용되는 용어들에 대하여 우선 설명한다.
사설 네트워크(private network)
공중 네트워크와 달리 사설 네트워크는 특정 네트워크로 구축한 조직에 관 련된 사용이 가능한 네트워크이다. 즉, 인증되지 않은 사용자로부터 접근을 차단하여 네트워크의 보안성을 유지시키며 네트워크를 직접적으로 통제함으로써 네트워크 운영에 유연성과 독립성을 기할 수 있는 반면, 다른 사설 네트워크와의 연동 및 이동 사용자에 대한 지원이 어렵다. 원거리에 위치한 지점 간의 네트워크 또는 전용회선 구축 시에 비용 부담이 큰 문제가 있어서, 이를 해결하기 위하여 가상 사설망(virtual private network; VPN)이 이용되는데, 가상 사설망이란 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망을 의미한다.
가상 머신(virtual machine)
통상적으로 가상 머신은 물리적인 실체를 가진 컴퓨터인 것처럼 자체 운영체제 및 애플리케이션을 실행할 수 있는 완전히 분리된 소프트웨어 컨테이너를 의미한다. 가상 머신은 물리적 컴퓨터와 동일하게 동작하며, 자체의 가상 CPU(central processing unit, 중앙처리장치), RAM(random access memory), 하드 디스크(hard disk) 및 NIC(network interface card, 네트워크 인터페이스 카드)를 포함한다. 운영체제는 가상 머신과 물리적 머신을 구분할 수 없으며 애플리케이션이나 네트워크의 다른 컴퓨터도 이들을 구분하지 못한다. 일반적으로 가상 머신은 소프트웨어로만 구성되며 하드웨어 구성요소를 포함하지 않는다.
가상 머신은 표준적인 물리적 컴퓨터와 호환되며, 가상 머신 간에는 마치 물리적으로 분리된 것처럼 서로 분리되어 있다. 가상 머신은 전체 컴퓨팅 환경을 캡슐화하고, 기본 하드웨어와는 독립적으로 실행된다. 이와 같은 특성들에 의하여 한 대의 물리적 컴퓨터에서 복수의 서로 다른 운영체제 및 애플리케이션 혼합 구성을 실행할 수 있다.
방화벽(firewall)
방화벽의 기본 역할은 신뢰 수준이 다른 네트워크 구간들 사이에 놓여서 신뢰 수준이 낮은 네트워크로부터 오는 유해 트래픽이 신뢰 수준이 높은 네트워크로 오지 못하게 막는 것이다. 통상적으로 네트워크 관리자의 입장에서 높은 신뢰도를 갖는 구간은 내부 네트워크 구간이라 하고, 낮은 신뢰도를 갖는 구간을 인터넷 구간 또는 외부 네트워크 구간이라고 한다. 예를 들어, 외부에 서비스를 제공하는 서버들로 구성된 소규모 네트워크(DMZ)을 설치하고, 방화벽이 인터넷으로부터 내부 네트워크로의 침입은 막고 내부 네트워크에서 인터넷으로 통신은 허용하는 것과 같은 네트워크 정책을 실행할 수 있다.
하니팟(honeypot)
하니팟은 개념적으로 그 가치가 침입 내지 공격 당하는 것에 있는 보안 자원을 말한다. 하니팟은 공격자(attacker)나 해커(hacker)를 유인하기 위한 기능을 별도로 보유하는 것이 아니라, 단지 인터넷 상에 존재하며 침입 내지 공격 당함으로써 공격자나 해커의 행동, 공격 기법 등을 분석하는데 사용된다. 즉, 하니팟은 방화벽이나 침입 탐지 시스템(intrusion detection system)처럼 특정한 보안 문제를 해결하기 보다는 전반적인 보안 구조의 향상에 그 목적을 두고 있다.
침입 방지(intrusion prevention) 분야에서 하니팟은 공격자를 속이거나, 저지하는데 사용될 수 있다. 그리고 침입 탐지(intrusion detection) 분야에서 하 니팟은 공격자의 행위를 탐지하는데 매우 효율적이다. 또한 침입 대응(intrusion response) 분야에서 하니팟은 침입자(intruder)가 어떻게 시스템에 침입했으며, 어떠한 행동을 했는지에 대한 상세한 정보를 제공할 수 있다.
하니팟이 공격자와 상호작용하는 정도, 즉, 공격자가 시스템에 침입해서 자신이 원하는 행동을 할 수 있는 정도가 하니팟이 수집하는 데이터의 질과 양에 영향을 준다. 로우 레벨 하니팟(low level honeypot)는 텔넷(telnet) 또는 FTP(file transfer protocol)과 같은 몇몇 특정한 서비스와 그에 따른 보안상 취약점을 에뮬레이션 하는 것으로, 공격자는 로그인 시도 및 매우 제한적인 상호작용만이 가능하므로, 이를 통해 획득할 수 있는 정보의 질과 양도 낮고 적다. 이에 반하여 하이 레벨 하니팟(high level honeypot)은 실제 운영체제 자체를 에뮬레이션 하는 것으로, 공격자는 백도어(backdoor) 프로그램과 같은 파일을 전송할 수도 있고 해킹 코드를 컴파일 할 수도 있는 등 다양한 행위를 할 수 있어서, 공격자의 키 입력(keystroke), 공격 도구의 사용, 공격자의 대화, 또는 전송되는 이미지 등 많은 정보를 얻을 수 있는 장점이 있다.
하니넷(honeynet)
하니넷은 일반 컴퓨터 시스템, 보안 솔루션, 그리고 하니팟으로 구성된 네트워크 구조를 의미한다. 또는 하니넷은 일반적으로 한 세션만 필요한 하니팟과 달리 복수의 동시 세션이 요구되는 네트워크 시스템을 의미하기도 한다. 공격자와 높은 수준(high level)의 상호 작용(interaction)이 이루어지며, 공격자는 시스템뿐만 아니라 해당 네트워크에도 자유롭게 접근 및 활동할 수 있다.
하니넷은 하나의 시스템이 아니라 여러 대의 시스템으로 이루어진 네트워크이다. 하니넷은 접근 통제 시스템의 관리하에서 모든 유입, 유출 트래픽이 통제되고, 이를 통하여 데이터를 수집한다. 이렇게 수집된 정보를 분석하여 공격 도구, 공격 기술, 공격 동기에 대해 알 수 있다. 또한 수집된 정보는 공격에 대한 예보, 경보에 활용될 수 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템의 구성을 나타내는 블록도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템은 방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)를 포함한다.
방화벽(110)은 외부 네트워크, 인터넷, 공용 네트워크 등과 내부 네트워크, 사설 네트워크, 인트라넷 등의 경계에서 외부로부터 사설 네트워크로 유입되는 트래픽과 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단 또는 통과시킨다.
방화벽(110)이 트래픽을 차단 또는 통과시키는 기준은 네트워크 공격 탐지 및 분석 시스템 사용자(user) 또는 사설 네트워크 관리자(administrator)가 결정하는 네트워크 보안 정책(network security policy)에 따르거나, 방화벽(110)에 탑재된 시그너처(signature) 기반 탐지 및 분석 모듈 또는 행위(action) 기반 탐지 및 분석 모듈의 미리 정하여진 판단 기준에 따르는 것일 수 있다.
시그너처 기반 탐지 및 분석 모듈은 안티 바이러스 소프트웨어, 백신 소프트웨어 등에서 주로 사용되는 악성 코드에 대한 시그너처, 즉 악성 코드가 갖는 패턴을 검색하여 악성 코드인지 여부를 판단하는 기법을 이용한다. 이에 반하여, 행위 기반 탐지 및 분석 모듈은 악성 코드의 호스트 내에서의 행동이나 네트워크 트래픽의 특성을 분석하여 악성 코드인지 여부를 판단하는 기법을 이용한다.
방화벽(110)은 외부로부터 사설 네트워크로 유입되는 트래픽은 차단하지 않고 사설 네트워크 내부로부터 외부로 유출되는 트래픽은 차단할 수 있다. 예를 들어, 이와 같은 방화벽(110)의 동작 또는 정책에 의하여 봇넷의 표적 시스템 공격, 봇 마스터 또는 중간 조정 서버(command & control server; C&C server)와의 통신을 차단할 수 있다.
방화벽(110)은 후술할 가상 하니팟부(120)에 포함되는 각각의 가상 머신 하니팟(121, 123)에서 발생하는 키 스트로크(key stroke) 정보, 네트워크 트래픽 정보, 의심되는 악성 코드의 행위 패턴 정보, 침입 감지 시스템(IDS) 패턴 정보를 저장할 수 있다. 이 경우 방화벽(110) 또는 하니팟 관리부(130)는 상기 정보를 분석한 결과에 기초하여 방화벽(110)의 트래픽 관리 정책을 변경할 수 있다.
가상 하니팟부(120)는 방화벽(110) 뒤에, 즉 방화벽(110)에 의하여 외부 네트워크로부터 격리된 사설 네트워크 내부에 위치한다. 가상 하니팟부(120)는 운영체제(operating system)의 동작을 에뮬레이션(emulation)하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격의 잠재적인 목표가 되어 네트워크 공격에 대한 데이터를 수집한다.
가상 하니팟부(120)는 m개의 물리적 서버(호스트)에 가상 운영체제를 설치하여 생성한 n개(n >= m)의 가상 머신 하니팟(121, 123)을 포함한다. 특정 물리적 서버(호스트)에 설치된 적어도 하나의 가상 머신 하니팟은 물리적 네트워크 카드(network interface card)를 물리적 서버(호스트)와 공유할 수 있다.
가상 머신 하니팟(121, 123)을 생성하는 과정은 각 가상 머신에 대한 운영체제 설치, 네트워크 설정 또는 가상 세션 설정 등을 포함하는 시스템 설정, 가상 세션 등의 로깅(logging) 설정, 필요한 경우 가상 머신 하니팟의 동작 테스트, 가상 머신 또는 가상 세션의 백업 등의 과정을 포함할 수 있다.
도 2는 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 가상 머신 하니팟을 설명하기 위한 개념도이다.
가상 머신 하니팟(121, 123)은 가상 머신 관리자(virtual machine manager; VM manager)가 생성 및 제어하는 개별 게스트(guest) 시스템에 대응될 수 있다. 가상 머신 하니팟(121, 123)은 가상 운영체제에 가상 네트워크 세션 설정이 이루어진 하나의 시스템으로 볼 수 있다.
가상 머신 관리자는, 물리적 서버(호스트)를 구성하는 물리적 실체인 하드웨어(hardware)를 제어하고 하드웨어 상에서 소프트웨어를 실행하는 호스트 운영체제(host operating; host OS) 상에서 실행된다.
다시 도 1을 참조하면, 가상 하니팟부(120)는 공격자와의 하이 레벨 인터랙션(high level interaction)을 제공하는 하이 레벨 하니팟일 수 있다. 운영체제의 전체 기능 및 서비스와 애플리케이션를 에뮬레이션 함으로써 공격자의 행위에 대한 보다 상세한 정보를 수집 및 분석할 수 있다.
하니팟 관리부(130)는 방화벽(110) 뒤에, 즉 방화벽(110)에 의하여 외부 네트워크로부터 격리된 사설 네트워크 내부에 위치한다. 하니팟 관리부(130)는 가상 머신의 설치, 동작 개시, 동작 중단, 설정 변경 및 제거를 개시 및 제어하고, 가상 하니팟부(123)의 동작을 실시간으로 감시할 수 있다. 상술한 바와 같이 상기 가상 머신은 가상 하니팟부(120)에 포함되는 각 가상 머신 하니팟(121, 123)에 대응된다.
하니팟 관리부(130)는 가상 하니팟부(120), 즉 가상 머신 하니팟(121, 123)의 동작에 대한 정보 또는 가상 하니팟부(120)에서 수집되는 데이터를 모니터링하고 이에 관한 보고서를 생성하여 시스템 관리자에게 제공할 수 있다.
상술한 바와 같이, 하니팟 관리부(130)는 가상 하니팟부(120)의 각 가상 머신 하니팟(121, 123)의 생성, 재설치, 제거, 동작 개시, 동작 중단 및 설정 변경을 개시 및 제어할 수 있다. 가상 하니팟부(120)는 복수의 가상 머신 하니팟(121, 123)을 포함할 수 있고, 하니팟 관리부(130)가 각각의 가상 머신 하니팟(121, 123)을 제어할 수 있으므로 시스템 관리자가 복수의 물리적 서버(호스트)에 일일이 운영체제를 설치하고 애플리케이션을 설치하는 번거로움을 피할 수 있어서, 그 결과 하니넷을 용이하게 제어할 수 있다.
하니팟 관리부(130)는 방화벽(110), 가상 하니팟부(120), 후술할 패킷 수집부(140) 또는 자신(130)에 저장된 데이터에 기초하여 네트워크 공격 발생 여부 또는 공격자의 공격 기법을 식별하고, 네트워크 보안 정책을 결정할 수 있다. 하니 팟 관리부(130)는 네트워크 공격을 탐지하는 방법으로서, 공격 의도 확인 기법, 네트워크 행위 기반 기법 또는 시그너처 기반 기법 등을 사용할 수 있다.
예를 들어, 하니팟 관리부(130)는 공격 의도 확인 기법으로서 TCP/UDP 서비스를 제공하는 모든 포트를 모니터링 하거나, 복수 번 동일 포트로의 접근을 시도하는 서비스 요청을 잠재적인 네트워크 공격으로 탐지할 수 있다.
또는 하니팟 관리부(130)는 네트워크 행위 기반 기법으로서 소스 IP 주소, 소스 포트, 목적 IP 주소, 목적 포트, 패킷 길이 등에 대한 분석을 통하여 알려지지 않은 공격을 탐지할 수 있다. 예를 들어, 소스 IP 주소의 수, 목적 IP 주소의 수, 목적 포트의 수의 관계가 1:1:m 인 경우에는 목적 포트 스캔, 1:1:m 인 경우에는 웜(worm) 또는 호스트 스캔, m:1:1 인 경우에는 포트 고정 소스 변조 DDoS, m:m:1 인 경우에는 분산 호스트 스캔, m:1:m 인 경우에는 포트 가변 소스 변조 DDoS, 1:m:m 인 경우에는 백 스캐터에 해당하는 공격으로 탐지할 수 있다.
또는 하니팟 관리부(130)는 시그너처 기반 기법으로서 알려진 패턴을 가지는 악성 코드를 탐지할 수 있다.
이하에서 네트워크 행위 기반 기법에 따른 공격 탐지 방법에 대해 구체적인 예를 들어 설명하겠다. 네트워크 공격 탐지는 방화벽(110), 하니팟 관리부(130) 또는 패킷 수집부(140) 중 어느 것에 의하여도 수행될 수 있으나, 이하에서는 하니팟 관리부(130)가 네트워크 공격 탐지를 수행하는 것으로 가정하고 설명하겠다.
하니팟 관리부(130)는 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 후술할 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가 상 하니팟부(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 가상 하니팟부(120)의 유입 트래픽 및 유출 트래픽을 결정할 수 있다. 그리고 하니팟 관리부(130)는 결정된 가상 하니팟부(120)의 유입 트래픽 및 유출 트래픽에 대한 상관분석 결과에 기초하여 가상 하니팟부(120)에 대한 공격이 있는지 여부를 판단할 수 있다. 상기 유입 트래픽 및 상기 유출 트래픽의 비율을 산출하는데 있어서 NetFlow 통계 정보가 이용될 수 있다.
하니팟 관리부(130)는 유출 TCP FIN 트래픽에 대비한 유입 TCP SYN 트래픽의 비율을 산출하는 상관분석을 실시하고, 그 상관분석 결과에 기초하여 가상 하니팟부(120)에 대한 TCP 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다. 하니팟 관리부(130)는 트래픽을 유발한 호스트의 IP를 이용하여 TCP 플로우 기록을 검색하여 마스터 봇(C&C 서버)의 위치(IP 정보)를 판단할 수 있다.
또는 하니팟 관리부(130)는 유출 트래픽에 대비한 유입 트래픽의 비율을 산출하는 상관분석을 실시하고, 그 상관분석 결과에 기초하여 가상 하니팟부(120)에 대한 UDP 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다. 하니팟 관리부(130)는 트래픽을 유발한 호스트의 IP를 이용하여 UDP 플로우 기록을 검색하여 마스터 봇(C&C 서버)의 위치(IP 정보)를 판단할 수 있다.
또는 하니팟 관리부(130)는 유입 트래픽에 대비한 유출 트래픽의 비율을 산출하는 상관분석을 실시하고, 그 상관분석 결과에 기초하여 가상 하니팟부(120)에 대한 ICM 분산 서비스 거부 공격이 있는지 여부를 판단할 수 있다. 하니팟 관리부(130)는 트래픽을 유발한 호스트의 IP를 이용하여 ICM 플로우 기록을 검색하여 마스터 봇(C&C 서버)의 위치(IP 정보)를 판단할 수 있다.
하니팟 관리부(130)는 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 후술할 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가상 하니팟부(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 가상 하니팟부(120)에 대한 네트워크 공격이 있는지 판단하고, 공격이 있다고 판단되면 방화벽(110)으로 하여금 외부로부터 사설 네트워크로 유입되는 트래픽, 사설 네트워크 내부로부터 외부로 유출되는 트래픽, 또는 유입되거나 유출되는 모든 트래픽을 차단케 할 수 있다.
본 발명의 다른 일 실시예로서, 방화벽(110)은 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 후술할 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가상 하니팟(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 가상 하니팟부(120)에 대한 공격이 있는지 판단하고, 공격이 있다고 판단되면 외부로부터 사설 네트워크로 유입되는 트래픽, 사설 네트워크 내부로부터 외부로 유출되는 트래픽, 또는 유입되거나 유출되는 모든 트래픽을 차단할 수 있다.
본 발명의 또 다른 일 실시예로서, 후술할 패킷 수집부(140)는 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가상 하니팟(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 가상 하니팟부(120)에 대한 공격이 있는지 판단하고, 공격이 있다고 판단되면 방화벽(110)으로 하여금 외부로부터 사설 네트 워크로 유입되는 트래픽, 사설 네트워크 내부로부터 외부로 유출되는 트래픽, 또는 유입되거나 유출되는 모든 트래픽을 차단케 할 수 있다.
패킷 수집부(140)는 방화벽(110) 뒤에, 즉 방화벽(110)에 의하여 외부 네트워크로부터 격리된 사설 네트워크 내부에 위치한다. 패킷 수집부(140)는 가상 하니팟부(120)로 유입되거나 가상 하니팟부(120)로부터 유출되는 패킷 데이터를 수집한다. 패킷 수집부(140)는 가상 하니팟부(120)와 외부 네트워크 간에 전송되는 통신 패킷을 저장하여, 방화벽(110) 또는 하니팟 관리부(130)에서의 네트워크 공격 탐지 분석에 이용되는 데이터로서 제공하거나, 네트워크 공격의 사후 검출(forensic) 데이터 또는 네트워크 공격에 대한 법정 증거(forensic evidence)를 제공할 수 있다.
패킷 수집부(140)는 가상 하니팟부(120)로 유입되거나 가상 하니팟부(120)로부터 유출되는 패킷을 수집하고 패킷 데이터를 조회하거나 패킷을 추적할 수 있는 패킷 수집 장비(packet capture device)를 포함할 수 있고, 수집된 패킷에 대한 보고서를 생성하여 시스템 관리자에게 제공할 수 있다.
방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140) 중 적어도 둘 이상의 구성요소는 하나의 블록 또는 하나의 장치로 구현될 수 있다. 예를 들어, 가상 하니팟부(120) 및 하니팟 관리부(130)는 하니팟 호스트(미도시)와 같이 하나의 블록 또는 하나의 장치로 구현될 수 있다. 또는 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)는 하니팟 호스트(미도시)와 같이 하나의 블록 또는 하나의 장치로 구현될 수 있다. 또는 방화벽(110), 가상 하 니팟부(120) 및 하니팟 관리부(130)는 하니팟 호스트(미도시)와 같이 하나의 블록 또는 하나의 장치로 구현될 수 있다. 또는 방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)는 하니팟 호스트(미도시)와 같이 하나의 블록 또는 하나의 장치로 구현될 수 있다.
이하에서는 가상 하니팟부(120)에서 발생하는 네트워크 이벤트에 기초하여 네트워크 공격을 탐지 또는 판별하는 방법의 예에 대하여 별도의 도면을 참조하여 설명하겠다.
도 3은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 네트워크 공격 탐지 방법을 설명하기 위한 흐름도이다. 네트워크 공격 탐지는 방화벽(110), 하니팟 관리부(130) 또는 패킷 수집부(140) 중 어느 것에 의하여도 수행될 수 있으나, 이하에서는 하니팟 관리부(130)가 네트워크 공격 탐지를 수행하는 것으로 가정하고 설명하겠다.
도 3을 참조하면, 하니팟 관리부(130)는 단위 시간 동안 네트워크 이벤트를 수집한다(S210). 네트워크 이벤트(network event)란 적어도 하나의 통신 패킷에 의하여 발생하는 네트워크 상의 사건(event)을 의미한다.
하니팟 관리부(130)는 가상 하니팟부(120)가 수집한 데이터의 전부 또는 일부, 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부, 또는 가상 하니팟(120) 및 패킷 수집부(140)가 수집한 패킷 데이터의 전부 또는 일부에 기초하여 적어도 하나의 패킷에 대한 외부 네트워크 IP 주소, 내부 네트워크 IP 주소, 상기 내부 네트워크 IP의 포트 주소, 패킷크기(packet size) 및 코드 시그너처 중 적어도 하나를 판단할 수 있다. 그리고 하니팟 관리부(130)는 그 판단된 결과에 기초하여 가상 하니팟부(120)에 대한 공격이 있는지 여부를 판단할 수 있다. 여기서 상기 코드 시그너처는 적어도 하나의 패킷의 페이로드(payload)로 구성되는 악성 코드의 알려진 코드 패턴을 의미한다.
미리 정하여진 개수 이상의 동일한 네트워크 이벤트가 발생한 경우에는 축약 결과 이벤트가 발생한 것으로 판단할 수 있다(S220, S271).
미리 정하여진 개수 이상의 동일한 네트워크 이벤트가 발생하지 않은 경우에는 다음과 같다(S220). 동일 외부 네트워크 IP 주소 및 서로 다른 내부 네트워크 IP 주소의 동일한 포트 주소에 대한 이벤트가 발생한 경우에는 스캐닝 의심 이벤트로 판단할 수 있다(S230, S240, S273). 서로 다른 외부 네트워크 IP 주소 및 서로 다른 내부 네트워크 IP 주소의 동일한 포트 주소에 대한 이벤트가 발생한 경우에는 웜 전파 의심 이벤트로 판단할 수 있다(S230, S250, S275). 동일 코드 시그너처가 식별된 경우에는 봇 전파 의심 이벤트로 판단할 수 있다(S220, S230, S240, S250, S260, S277).
도 4는 본 발명의 다른 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 네트워크 공격 탐지 방법을 설명하기 위한 흐름도이다. 네트워크 공격 탐지는 방화벽(110), 하니팟 관리부(130) 또는 패킷 수집부(140) 중 어느 것에 의하여도 수행될 수 있으나, 이하에서는 하니팟 관리부(130)가 네트워크 공격 탐지를 수행하는 것으로 가정하고 설명하겠다.
도 4를 참조하면, 하니팟 관리부(130)는 단위 시간 동안 네트워크 트래픽을 분석한다(S310). 외부 네트워크로부터 유입되는 트래픽이 발생하였고 동일 포트에 대한 트래픽인 경우에는 마스터 봇 C&C 의심 이벤트로 판단할 수 있다(S320, S330, S351). 내부 네트워크로부터 유출되는 트래픽이 발생하였고 동일한 외부 IP 주소에 대한 트래픽인 경우에는 DDoS 의심 이벤트로 판단할 수 있다(S320, S340, S353). 내부 네트워크로부터 유출되는 트래픽이 발생하였고 동일한 외부 IP 주소에 대한 트래픽이 아닌 경우에는 웜 전파 의심 이벤트로 판단할 수 있다(S320, S340, S355).
도 5는 본 발명의 다른 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템의 구성을 나타내는 블록도이다.
방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)에 대하여는 도 1 내지 도 4와 동일한 참조부호를 사용하며 상기 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에 대하여 도 1 내지 도 4를 참조하여 설명한 바와 동일하게 이해될 수 있으므로 이하 설명을 생략한다.
L3 스위치(150)와 방화벽(110), 가상 하니팟부(120) 및 패킷 수집부(140) 간에는 실제 트래픽이 전송된다. 패킷 수집부(140)는, L3 스위치(150)와 가상 하니팟부(120) 간의 트래픽 라인(151)에서 유입 또는 유출되는 패킷을 수집할 수 있도록, L3 스위치(150)의 미러링 포트(SPAN 포트)에 연결될 수 있다(S153).
L2 스위치(160)와 방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140) 간에는 관리 트래픽 또는 제어 트래픽이 전송된다.
도 6은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법을 설명하기 위한 흐름도이다.
도 6을 참조하면, 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법은 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 하니팟 호스트에 설치하고, 적어도 하나의 가상 머신이 하니팟 기능을 수행하도록 설정하는 단계(S410), 적어도 하나의 가상 머신으로 유입되거나 적어도 하나의 가상 머신으로부터 유출되는, 네트워크 공격에 대한, 데이터를 수집하는 단계(S430) 및 수집된 데이터에 기초하여 적어도 어느 하나의 가상 머신에서 발생한 네트워크 공격을 탐지하는 단계(S440)를 포함한다.
본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법은 적어도 하나의 가상 머신의 동작 개시, 동작 중단, 설정 변경 및 제거 중 적어도 하나를 수행하는 단계(S420)를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법은, 적어도 어느 하나의 상기 가상 머신에서 네트워크 공격이 탐지된 경우 외부로부터 적어도 하나의 가상 머신으로 유입되는 트래픽 및 적어도 하나의 가상 머신으로부터 외부로 유출되는 트래픽 중 적어도 하나를 차단하는 단계를 더 포함할 수 있다(S450).
가상 머신 하니팟 설정 단계(S410), 가상 머신 하니팟 설정 변경 단계(S420), 유입 및 유출 데이터 수집 단계(S430), 네트워크 공격 탐지 단계(S440) 및 유입 트래픽 및 유출 트래픽 차단 단계(S450)에 대하여는 상기 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서 방화벽(110), 가상 하니팟부(120), 하니팟 관리부(130) 및 패킷 수집부(140)에 대하여 도 1 내지 도 5을 참조하여 설명한 바와 유사하게 이해될 수 있으므로 이하 설명을 생략한다.
이상 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템의 구성을 나타내는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 가상 머신 하니팟을 설명하기 위한 개념도이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 네트워크 공격 탐지 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 다른 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템에서의 네트워크 공격 탐지 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 다른 일 실시예에 따른 네트워크 공격 탐지 및 분석 시스템의 구성을 나타내는 블록도이다.
도 6은 본 발명의 일 실시예에 따른 네트워크 공격 탐지 및 분석 방법을 설명하기 위한 흐름도이다.
* 도면의 주요부분에 대한 부호의 설명 *
110 : 방화벽 120 : 가상 하니팟부
130 : 하니팟 관리부 140 : 패킷 수집부
150 : L3 스위치 160 : L2 스위치

Claims (12)

  1. 외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽;
    상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부;
    상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부; 및
    상기 방화벽 뒤에 위치하고, 상기 가상 하니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함하며,
    상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격 여부를 판단하며,
    상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 외부 네트워크 IP 주소, 내부 네트워크 IP 주소, 상기 내부 네트워크 IP의 포트 주소 및 패킷크기(Packet size) 중 적어도 하나를 판단하고, 판단된 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  2. 외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽;
    상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부;
    상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부; 및
    상기 방화벽 뒤에 위치하고, 상기 가상 하니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함하며,
    상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 방화벽으로 하여금 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단케 하며,
    상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 외부 네트워크 IP 주소, 내부 네트워크 IP 주소, 상기 내부 네트워크 IP의 포트 주소 및 패킷크기(Packet size) 중 적어도 하나를 판단하고, 판단된 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  3. 외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽;
    상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부;
    상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부; 및
    상기 방화벽 뒤에 위치하고, 상기 가상 하니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함하며,
    상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단하며,
    상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 외부 네트워크 IP 주소, 내부 네트워크 IP 주소, 상기 내부 네트워크 IP의 포트 주소 및 패킷크기(Packet size) 중 적어도 하나를 판단하고, 판단된 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  4. 외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽;
    상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부;
    상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부; 및
    상기 방화벽 뒤에 위치하고, 상기 가상 하니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함하며,
    상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격 여부를 판단하며,
    상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부의 유입 트래픽 및 유출 트래픽을 결정하고, 결정된 상기 가상 하니팟부의 상기 유입 트래픽 및 상기 유출 트래픽에 대한 상관분석 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  5. 외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터] 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽;
    상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부;
    상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부; 및
    상기 방화벽 뒤에 위치하고, 상기 가상 하니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함하며,
    상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 방화벽으로 하여금 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단케 하며,
    상기 하니팟 관리부는 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격 여부를 판단하며,
    상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부의 유입 트래픽 및 유출 트래픽을 결정하고, 결정된 상기 가상 하니팟부의 상기 유입 트래픽 및 상기 유출 트래픽에 대한 상관분석 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  6. 외부로부터 사설 네트워크로 유입되는 트래픽 및 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽 중 적어도 하나의 차단 여부를 결정하는 방화벽;
    상기 방화벽 뒤에 위치하고, 운영체제의 동작을 에뮬레이션 하는 적어도 하나의 가상 머신을 포함하며, 네트워크 공격에 대한 데이터를 수집하는 가상 하니팟부;
    상기 방화벽 뒤에 위치하고, 상기 가상 머신의 설치, 동작 개시, 동작 중단 및 설정 변경을 제어하며, 상기 가상 하니팟부의 동작을 실시간으로 감시하는 하니팟 관리부; 및
    상기 방화벽 뒤에 위치하고, 상기 가상 하니팟부로 유입되거나 상기 가상 하니팟부로부터 유출되는 패킷 데이터를 수집하는 패킷 수집부를 포함하며,
    상기 방화벽은 상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부에 대한 공격이 있다고 판단되는 경우 상기 사설 네트워크 내부로부터 외부로 유출되는 트래픽을 차단하며,
    상기 가상 하니팟부가 수집한 데이터 및 상기 패킷 수집부가 수집한 패킷 데이터 중 적어도 하나의 적어도 일부에 기초하여 상기 가상 하니팟부의 유입 트래픽 및 유출 트래픽을 결정하고, 결정된 상기 가상 하니팟부의 상기 유입 트래픽 및 상기 유출 트래픽에 대한 상관분석 결과에 기초하여 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  7. 제4항 내지 제6항 중 선택되는 어느 한 항에 있어서,
    상기 상관분석은 유출 TCP FIN 트래픽에 대비한 유입 TCP SYN 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 TCP 분산 서비스 거부 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  8. 제4항 내지 제6항 중 선택되는 어느 한 항에 있어서,
    상기 상관분석은 유출 트래픽에 대비한 유입 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 UDP 분산 서비스 거부 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  9. 제4항 내지 제6항 중 선택되는 어느 한 항에 있어서,
    상기 상관분석은 유입 트래픽에 대비한 유출 트래픽의 비율을 산출하고, 상기 가상 하니팟부에 대한 공격이 있는지 여부를 판단하는 것은 ICM 분산 서비스 거부 공격이 있는지 여부를 판단하는 것을 특징으로 하는 네트워크 공격 탐지 및 분석 시스템.
  10. 삭제
  11. 삭제
  12. 삭제
KR1020090125192A 2009-12-16 2009-12-16 네트워크 공격 탐지 및 분석 시스템 및 그 방법 KR101156005B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090125192A KR101156005B1 (ko) 2009-12-16 2009-12-16 네트워크 공격 탐지 및 분석 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090125192A KR101156005B1 (ko) 2009-12-16 2009-12-16 네트워크 공격 탐지 및 분석 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20110068308A KR20110068308A (ko) 2011-06-22
KR101156005B1 true KR101156005B1 (ko) 2012-06-18

Family

ID=44400578

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090125192A KR101156005B1 (ko) 2009-12-16 2009-12-16 네트워크 공격 탐지 및 분석 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101156005B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102339826B1 (ko) 2021-08-26 2021-12-16 한화시스템(주) 폐쇄망 환경에서의 무선통신을 통한 사이버 공격 탐지 및 차단 시스템 및 그 방법

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9294489B2 (en) 2011-09-26 2016-03-22 Intellectual Discovery Co., Ltd. Method and apparatus for detecting an intrusion on a cloud computing service
EP2817918A4 (en) * 2012-02-20 2015-11-04 Virtustream Canada Holdings Inc SYSTEMS WITH FIREWALL FOR THE TRANSPORT OF A VIRTUAL MACHINE AND METHOD FOR EDITING PROCESSING IN CONNECTION WITH THAT
KR101388090B1 (ko) 2013-10-15 2014-04-22 펜타시큐리티시스템 주식회사 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법
CN107222515B (zh) * 2016-03-22 2021-05-04 阿里巴巴集团控股有限公司 蜜罐部署方法、装置及云端服务器
CN107370756B (zh) * 2017-08-25 2020-04-07 北京神州绿盟信息安全科技股份有限公司 一种蜜网防护方法及系统
KR102412490B1 (ko) * 2017-09-20 2022-06-24 주식회사 이알마인드 IoT를 기반으로 하는 해킹방지 시스템
KR102122824B1 (ko) * 2018-11-28 2020-06-15 고려대학교 산학협력단 블록제출보류공격 탐지장치 및 그 동작 방법
KR102174507B1 (ko) * 2019-05-17 2020-11-04 (주)유미테크 통신 게이트웨이 방화벽 자동설정장치 및 그 방법
KR102458075B1 (ko) * 2020-11-26 2022-10-24 목포대학교산학협력단 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법
CN115664786A (zh) * 2022-10-24 2023-01-31 惠州市德赛西威智能交通技术研究院有限公司 一种汽车防御方法、防御系统、蜜罐系统和存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010085057A (ko) * 2001-07-27 2001-09-07 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010085057A (ko) * 2001-07-27 2001-09-07 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102339826B1 (ko) 2021-08-26 2021-12-16 한화시스템(주) 폐쇄망 환경에서의 무선통신을 통한 사이버 공격 탐지 및 차단 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20110068308A (ko) 2011-06-22

Similar Documents

Publication Publication Date Title
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
Birkinshaw et al. Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks
Modi et al. A survey of intrusion detection techniques in cloud
Bhushan et al. Security challenges in cloud computing: state-of-art
Akhunzada et al. Secure and dependable software defined networks
US9942270B2 (en) Database deception in directory services
CN111385236A (zh) 一种基于网络诱骗的动态防御系统
US20060282893A1 (en) Network information security zone joint defense system
WO2015171780A1 (en) Distributed system for bot detection
Song et al. Cooperation of intelligent honeypots to detect unknown malicious codes
Kim et al. Agent-based honeynet framework for protecting servers in campus networks
Poongothai et al. Simulation and analysis of DDoS attacks
Araújo et al. EICIDS-elastic and internal cloud-based detection system
Ribin et al. Precursory study on varieties of DDoS attacks and its implications in cloud systems
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall
Durairaj et al. A study on securing cloud environment from DDoS attack to preserve data availability
EP3595257B1 (en) Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device
Nummipuro Detecting P2P-controlled bots on the host
Adenuga-Taiwo et al. Security analysis of onos software-defined network platform
Gautam et al. Optimized virtual honeynet with implementation of host machine as honeywall
Prasad et al. An efficient flash crowd attack detection to internet threat monitors (itm) using honeypots
Gomathi et al. Identification of Network Intrusion in Network Security by Enabling Antidote Selection
Dimiter et al. Botnet Attack Identification Based on SDN
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Rosy et al. Intrusion Detection System in Cloud Computing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150602

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160602

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170605

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180605

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190604

Year of fee payment: 8