KR101308085B1 - 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 - Google Patents

관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 Download PDF

Info

Publication number
KR101308085B1
KR101308085B1 KR1020120007986A KR20120007986A KR101308085B1 KR 101308085 B1 KR101308085 B1 KR 101308085B1 KR 1020120007986 A KR1020120007986 A KR 1020120007986A KR 20120007986 A KR20120007986 A KR 20120007986A KR 101308085 B1 KR101308085 B1 KR 101308085B1
Authority
KR
South Korea
Prior art keywords
attack
attack pattern
pattern
detected
relational
Prior art date
Application number
KR1020120007986A
Other languages
English (en)
Other versions
KR20130093841A (ko
Inventor
한영호
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120007986A priority Critical patent/KR101308085B1/ko
Publication of KR20130093841A publication Critical patent/KR20130093841A/ko
Application granted granted Critical
Publication of KR101308085B1 publication Critical patent/KR101308085B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 실시예에 따라, 관계형 공격 패턴을 이용하는 침입 차단 시스템이 개시된다. 상기 시스템은 적어도 하나의 네트워크 패킷을 수신하기 위한 수신부; 악성 코드를 탐지하기 위해 이용되는 공격 패턴을 저장하기 위한 공격 패턴 데이터베이스; 상기 네트워크 패킷과 상기 공격 패턴 데이터베이스에 저장된 공격 패턴과의 패턴 매칭을 통해, 상기 네트워크 패킷에 포함된 공격 패턴을 탐지하기 위한 공격 패턴 탐지부; 상기 공격 패턴 탐지부에 의해 탐지된 공격 패턴이 관계형 공격 패턴을 정의하는 복수의 공격 패턴 중 하나인 경우, 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 저장하기 위한 관계 판단 데이터베이스; 상기 관계 판단 데이터베이스에 저장된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 상기 공격 패턴 데이터베이스를 참조하여 판단하기 위한 관계형 공격 판단부; 및 상기 공격 패턴 탐지부에 의해 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 상기 관계형 공격 판단부가 판단한 경우, 상기 탐지된 공격 패턴을 포함하는 네트워크 패킷을 차단하기 위한 패킷 차단부를 포함할 수 있다.
본 발명은 관계형 공격 패턴을 탐지함으로써, 침입 차단 시스템의 오탐률을 현저히 감소시킬 수 있으며, 또한, 탐지되는 공격 패턴의 상관관계에 대한 분석을 통해 관계형 공격 패턴을 학습함으로써, 제로-데이 공격에 대해서도 신속한 대응을 가능하게 할 수 있다.

Description

관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법{INTRUSION PREVENTION SYSTEM USING CORRELATION ATTACK PATTERN AND METHOD THEREOF}
본 발명은 침입 차단 시스템에 관한 것으로서, 더 구체적으로는 관계형 공격 패턴을 이용하는 침입 차단 시스템에 관한 것이다.
네트워크는 물리적인 광범위함과 사용자의 다양성, 네트워크상의 다양한 작업 경로 등으로 인해 특유의 보안문제를 안고 있다. 때문에, 네트워크에 연결된 컴퓨터 시스템의 운영 체제, 서버, 응용 프로그램 등의 취약점을 이용하는 침입을 방지하기 위한 다양한 보안 제품이 이용되고 있다. 네트워크 보안을 위해서 종래에는 방화벽이 많이 사용되었지만, 근래에는 침입 탐지 시스템(intrusion detection system), 침입 차단 시스템(intrusion prevention system) 등 다른 여러 장비가 많이 사용되고 있다.
이러한 보안 제품 중 침입 탐지 시스템은 공격 패턴 데이터베이스를 바탕으로 수신된 패킷의 헤더와 페이로드를 매칭하여 공격을 탐지 및 차단한다. 공격 패턴 데이터베이스의 포맷과 매칭 방법은 보안 엔진에 따라 상이할 수 있으나, 시그니처로 지칭될 수 있는 패턴 데이터베이스를 가지며, 네트워크 패킷 전체를 검사하여 공격을 탐지 및 차단한다는 점에서는 대동소이하다.
모든 트래픽을 허용하면서 적극적으로 공격을 탐지 및 차단할 수 있다는 IPS의 장점에도 불구하고, 오탐으로 인해 충분히 활용되지 못하고 있다. 즉, 공격 패킷과 정상 패킷을 완전히 구분하지 못하고 정상 패킷을 공격 패킷으로 오탐하여 정상 사용자에게 원활한 서비스를 제공하지 못하게 되는 경우가 발생할 수 있으며, 이로 인해 네트워크 관리자들은 침입 차단 시스템을 공격 탐지 목적으로만 운용하게 되는 문제가 발생하고 있다.
따라서, 침입 차단 시스템의 오탐률을 감소시킴으로써 침입 차단 시스템을 충분히 활용할 수 있는 기술이 요구된다.
본 발명은 상기 문제점을 해결하기 위한 것으로서, 침입 차단 시스템의 공격 패턴 오탐률을 감소시킴으로써, 침입 차단 시스템의 공격 탐지 및 차단 기능을 충분히 활용하는 것을 목적으로 한다
본 발명의 일 실시예에 따라, 관계형 공격 패턴을 이용하는 침입 차단 시스템이 개시된다. 상기 시스템은 적어도 하나의 네트워크 패킷을 수신하기 위한 수신부; 악성 코드를 탐지하기 위해 이용되는 공격 패턴을 저장하기 위한 공격 패턴 데이터베이스; 상기 네트워크 패킷과 상기 공격 패턴 데이터베이스에 저장된 공격 패턴과의 패턴 매칭을 통해, 상기 네트워크 패킷에 포함된 공격 패턴을 탐지하기 위한 공격 패턴 탐지부; 상기 공격 패턴 탐지부에 의해 탐지된 공격 패턴이 관계형 공격 패턴을 정의하는 복수의 공격 패턴 중 하나인 경우, 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 저장하기 위한 관계 판단 데이터베이스; 상기 관계 판단 데이터베이스에 저장된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 상기 공격 패턴 데이터베이스를 참조하여 판단하기 위한 관계형 공격 판단부; 및 상기 공격 패턴 탐지부에 의해 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 상기 관계형 공격 판단부가 판단한 경우, 상기 탐지된 공격 패턴을 포함하는 네트워크 패킷을 차단하기 위한 패킷 차단부를 포함할 수 있다.
본 발명의 일 실시예에 따라, 관계형 공격 패턴을 이용하는 침입 차단 방법이 개시된다. 상기 방법은 적어도 하나의 네트워크 패킷을 수신하는 단계; 상기 네트워크 패킷과 공격 패턴 데이터베이스에 저장된 공격 패턴과의 패턴 매칭을 통해, 상기 네트워크 패킷에 포함된 공격 패턴을 탐지하는 단계; 상기 탐지된 공격 패턴이 관계형 공격 패턴을 정의하는 복수의 공격 패턴 중 하나인 경우, 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 관계 판단 데이터베이스에 저장하는 단계; 상기 관계 판단 데이터베이스에 저장된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 상기 공격 패턴 데이터베이스를 참조하여 판단하는 단계; 및 상기 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 판단된 경우, 상기 탐지된 공격 패턴을 포함하는 네트워크 패킷을 차단하는 단계를 포함할 수 있다.
본 발명은 관계형 공격 패턴을 탐지함으로써, 침입 차단 시스템의 오탐률을 현저히 감소시킬 수 있으며, 또한, 탐지되는 공격 패턴의 상관관계에 대한 분석을 통해 관계형 공격 패턴을 학습함으로써, 제로-데이(zero-day) 공격에 대해서도 신속한 대응을 가능하게 할 수 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1는 본 발명의 일 실시예에 따라 관계형 공격 패턴을 이용하는 침입 차단 시스템을 도시한다.
도 2는 본 발명의 일 실시예에 따라 관계형 공격 패턴을 이용하는 침입 차단 방법을 도시한다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명함으로써, 본 발명을 상세히 설명하기로 한다.
도 1는 본 발명의 일 실시예에 따라 관계형 공격 패턴을 이용하는 침입 차단 시스템(100)을 도시한다. 도시되는 바와 같이, 상기 시스템(100)은 적어도 하나의 네트워크 패킷을 수신하기 위한 수신부(110); 악성 코드를 탐지하기 위해 이용되는 공격 패턴을 저장하기 위한 공격 패턴 데이터베이스(120); 네트워크 패킷과 공격 패턴 데이터베이스(120)에 저장된 공격 패턴과의 패턴 매칭을 통해, 네트워크 패킷에 포함된 공격 패턴을 탐지하기 위한 공격 패턴 탐지부(130); 공격 패턴 탐지부(130)에 의해 탐지된 공격 패턴이 관계형 공격 패턴을 정의하는 복수의 공격 패턴 중 하나인 경우, 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 저장하기 위한 관계 판단 데이터베이스(140); 관계 판단 데이터베이스(140)에 저장된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 상기 공격 패턴 데이터베이스(120)를 참조하여 판단하기 위한 관계형 공격 판단부(150); 및 공격 패턴 탐지부(130)에 의해 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 관계형 공격 판단부(150)가 판단한 경우, 상기 탐지된 공격 패턴을 포함하는 네트워크 패킷을 차단하기 위한 패킷 차단부(160)를 포함할 수 있다.
수신부(110)는 적어도 하나의 네트워크 패킷을 수신할 수 있다. 상기 네트워크 패킷은 침입 차단 시스템(100)을 통과하는 네트워크 패킷으로서 외부 네트워크(예를 들어, 인터넷)로부터 수신되는 네트워크 패킷을 의미한다.
공격 패턴 데이터베이스(120)에는 악성 코드를 탐지하기 위해 이용되는 공격 패턴이 저장될 수 있다. 이러한 공격 패턴에는 일반적인 공격 패턴뿐만 아니라 관계형 공격 패턴이 포함될 수 있다. 본 발명에서, 일반적인 공격 패턴은 단일한 공격 패턴으로서 정의되며, 관계형 공격 패턴은 상호 간에 논리적 연관 관계를 갖는 복수의 공격 패턴으로서 정의될 수 있다. 이러한 관계형 공격 패턴은 연관 관계를 갖는 복수의 공격 패턴 및 상기 복수의 공격 패턴 간의 공격 순서에 관한 정보를 포함할 수 있다. 예를 들어, 데이터베이스 서버의 취약점을 공격하는 경우, 데이터베이스 서버가 서비스 중인지 확인하기 위한 제 1 공격 패턴이 존재하고, 이후에 데이터베이스 서버의 취약점을 공격하는 제 2 공격 패턴이 존재하게 된다. 본 발명에서는 상기 예시된 제 1 공격 패턴 및 제 2 공격 패턴과 같이, 상호 간의 논리적인 연관 관계를 갖는 공격 패턴들을 관계형 공격 패턴으로 정의한다. 본 발명은 이러한 관계형 공격 패턴과의 패턴 매칭을 통해 침입을 탐지함으로써, 일반적인 공격 패턴과의 패턴 매칭을 이용하여 침입을 탐지하는 경우보다 오탐률을 크게 감소시킬 수 있다. 예를 들어, 상기 제 1 공격 패턴의 오탐률과 상기 제 2 공격 패턴의 오탐률이 각각 0.1인 경우, 관계형 공격 패턴을 이용하여 침입을 탐지하게 되면, 제 1 공격 패턴 및 제 2 공격 패턴을 모두 탐지해야 하므로, 오탐률이 0.01(즉, 0.1 X 0.1)로 현저하게 감소될 수 있다.
공격 패턴 탐지부(130)는 수신부(110)에 의해 수신되는 네트워크 패킷과 공격 패턴 데이터베이스(120)에 저장된 공격 패턴과의 패턴 매칭을 통해, 네트워크 패킷에 포함된 공격 패턴을 탐지할 수 있다. 상기 언급된 바와 같이, 공격 패턴 데이터베이스(120)에는 일반적인 공격 패턴뿐만 아니라 관계형 공격 패턴 또한 저장될 수 있지만, 공격 패턴 탐지부(130)는 관계형 공격 패턴이 아닌 일반적인 공격 패턴이 네트워크 패킷에 포함되어 있는지를 탐지한다. 공격 패턴이 네트워크 패킷에 포함되어 있는지 여부는 패턴 매칭을 통해 판단될 수 있다. 패턴 매칭이란 데이터 패킷의 데이터 중 적어도 일부가 일정한 스트링(string) 또는 정규식(regular expression)의 형태로 제공되는 패턴과 일치하는지 여부를 조사하는 것을 말한다. 패턴 매칭 알고리즘에 따라 패턴 매칭이 이루어지며, 오토마톤(automaton) 기반, 휴리스틱(heuristic) 기반 및 필터링 기반 등의 다양한 패턴 매칭 알고리즘이 당업자에게 이용될 수 있다. 또한, 데이터 패킷의 데이터가 포함하는 수치가 일정한 범위 내에 속하는지 여부를 조사할 수 있다. 정규 범위 내에 속하지 않는 수치는 악성 코드 등에서 이용될 가능성이 높기 때문이다. 상기 기술된 DPI 방식 이외에도 다양한 DPI 방식이 당해 기술 분야에서 활용되고 있으며, 이러한 다양한 DPI 방식이 당업자에게 용이하게 본 발명과 관련하여 이용될 수 있다.
관계 판단 데이터베이스(140)는 공격 패턴 탐지부(130)에 의해 탐지된 공격 패턴이 관계형 공격 패턴을 정의하는 복수의 공격 패턴 중 하나인 경우, 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 저장할 수 있다. 관계형 공격 패턴은 복수의 공격 패턴을 모두 고려하여 판단해야 하기 때문이다. 또한, 관계 판단 데이터베이스(140)에 저장된 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간, 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소는 저장된 시간으로부터 소정의 시간이 경과하면 삭제될 수 있다. 즉, 관계 판단 데이터베이스(140)에 저장되는 복수의 공격 패턴이 관계형 공격 패턴을 형성하는 복수의 공격 패턴과 동일하고 공격 순서 또한 동일하다 하더라도, 복수의 공격 패턴 사이의 시간 간격이 지나치게 길다면, 상기 공격 패턴들 사이에 밀접한 연관 관계가 존재한다고 판단하기 어렵기 때문이다. 상기 소정의 시간은 본 발명이 적용되는 실시예에 따라 상이해질 수 있으며, 바람직하게는 상기 소정의 시간은 1일이거나, 사용자에 의해 지정되는 임의의 시간일 수 있다.
관계형 공격 판단부(150)는 관계 판단 데이터베이스(140)에 저장된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 판단할 수 있다. 일 실시예에서, 관계 판단 데이터베이스(140) 내에 동일한 IP 주소에 대해 복수의 공격 패턴이 존재하고, 상기 복수의 공격 패턴 및 상기 복수의 공격 패턴이 탐지된 시간에 의해 결정되는 공격 순서가 공격 패턴 데이터베이스(120)에 저장된 관계형 공격 패턴에 대응하게 되는 경우, 관계형 공격 판단부(150)는 상기 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 판단할 수 있다.
관계형 공격 판단부(150)가 공격 패턴 탐지부(130)에 의해 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 판단한 경우, 패킷 차단부(160)는 상기 탐지된 공격 패턴을 포함하는 네트워크 패킷을 차단할 수 있다. 패킷 차단부(160)가 상기 네트워크 패킷을 차단함으로써, 공격이 완성되는 것을 우선적으로 방지할 수 있다.
일 실시예에서, 상기 시스템(100)은 관계형 공격 판단부(150)에 의해 관계형 공격 패턴에 해당한다고 판단된 공격 패턴이 포함되는 네트워크 패킷의 출발지 IP 주소를 저장하기 위한 차단 IP 데이터베이스(170)를 더 포함할 수 있다. 차단 IP 데이터베이스(170)에 저장된 IP 주소는 관계형 공격 패턴으로서 탐지된 공격을 시도하는 IP 주소에 해당하므로, 패킷 차단부(160)는 차단 IP 데이터베이스(170)에 저장된 IP 주소로부터 수신되는 네트워크 패킷을 차단할 수 있다.
일 실시예에서, 시스템(100)은 제 1 관계 학습 데이터베이스(180) 및 제 2 관계 학습 데이터베이스(190)를 포함할 수 있다. 제 1 관계 학습 데이터베이스(180) 및 제 2 관계 학습 데이터베이스(190)는 공격 패턴 탐지부(130)에 의해 탐지되는 공격 패턴의 연관관계를 분석함으로써 신규한 관계형 공격 패턴을 학습하기 위한 것이다. 구체적으로, 제 1 관계 학습 데이터베이스(180)는 공격 패턴 탐지부(130)에 의해 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간, 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 저장할 수 있다. 제 2 관계 학습 데이터베이스(190)에는 제 1 관계 학습 데이터베이스(180) 내에 동일한 IP 주소에 대해 복수의 공격 패턴이 저장되는 경우, 상기 복수의 공격 패턴 및 상기 복수의 공격 패턴이 탐지된 시간에 의해 결정되는 공격 순서를 포함하는 공격 패턴의 세트를 저장될 수 있다. 제 1 관계 학습 데이터베이스(180)에는 공격 패턴 탐지부(130)에 의해 탐지되는 모든 공격 패턴 및 관련 정보가 저장되며, 이들 중 동일한 IP 주소에 대해 복수의 공격 패턴이 존재하면, 상기 복수의 공격 패턴은 관계형 공격 패턴일 가능성이 있으므로, 상기 복수의 공격 패턴 및 관련 정보가 제 2 관계 학습 데이터베이스(190)에 저장될 수 있다. 제 1 관계 학습 데이터베이스(180)에 저장된 공격 패턴, 상기 공격 패턴이 탐지된 시간, 상기 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소는 저장된 시간으로부터 소정의 시간이 경과하면 삭제될 수 있다. 제 1 관계 학습 데이터베이스(180)에서 동일한 IP 주소에 대해 복수의 공격 패턴이 저장되더라도, 복수의 공격 패턴 사이의 시간 간격이 지나치게 길다면, 상기 공격 패턴들 사이의 연관 관계를 인정하기 어렵기 때문이다. 상기 소정의 시간은 본 발명이 적용되는 실시예에 따라 상이해질 수 있으며, 바람직하게는 상기 소정의 시간은 1일이거나, 사용자에 의해 지정되는 임의의 시간일 수 있다.
또한, 제 2 관계 학습 데이터베이스(190) 내에 소정의 개수의 동일한 공격 패턴의 세트가 저장되는 경우, 공격 패턴 데이터베이스(120)는 상기 공격 패턴의 세트를 관계형 공격 패턴으로서 저장할 수 있다. 동일한 공격 패턴의 세트가 소정의 개수만큼 존재한다면, 상기 세트를 이루는 복수의 공격 패턴은 우연히 조합된 것이 아니라, 상호 간의 연관 관계를 가질 가능성이 높기 때문에, 공격 패턴 데이터베이스(120)는 이러한 공격 패턴의 세트를 관계형 공격 패턴으로 정의하고 저장할 수 있다. 상기 소정의 개수가 큰 값일수록 연관 관계가 높은 것으로 판단할 수 있다. 상기 소정의 개수는 본 발명이 적용되는 실시예에 따라 상이해질 수 있으며, 바람직하게는 상기 소정의 개수는 2개이거나, 사용자에 의해 지정되는 임의의 개수일 수 있다.
도 2는 본 발명의 일 실시예에 따라 관계형 공격 패턴을 이용하는 침입 차단 방법(200)을 도시한다. 상기 방법은 적어도 하나의 네트워크 패킷을 수신하는 단계(210); 상기 네트워크 패킷과 공격 패턴 데이터베이스에 저장된 공격 패턴과의 패턴 매칭을 통해, 상기 네트워크 패킷에 포함된 공격 패턴을 탐지하는 단계(220); 상기 탐지된 공격 패턴이 관계형 공격 패턴을 정의하는 복수의 공격 패턴 중 하나인 경우, 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 관계 판단 데이터베이스에 저장하는 단계(230); 상기 관계 판단 데이터베이스에 저장된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 상기 공격 패턴 데이터베이스를 참조하여 판단하는 단계(240); 및 상기 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 판단된 경우, 상기 탐지된 공격 패턴을 포함하는 네트워크 패킷을 차단하는 단계(250)를 포함할 수 있다.
일 실시예에서, 단계(240)는 상기 관계 판단 데이터베이스 내에 동일한 IP 주소에 대해 복수의 공격 패턴이 존재하고, 상기 복수의 공격 패턴 및 상기 복수의 공격 패턴이 탐지된 시간에 의해 결정되는 공격 순서가 상기 공격 패턴 데이터베이스에 저장된 관계형 공격 패턴에 대응하게 되는 경우, 상기 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 판단하는 단계를 포함할 수 있다.
일 실시예에서, 관계 판단 데이터베이스에 저장된 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소는 저장된 시간으로부터 소정의 시간이 경과하면 삭제될 수 있다.
일 실시예에서, 상기 방법(200)은 상기 관계형 공격 패턴에 해당한다고 판단된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 차단 IP 데이터베이스에 저장하는 단계를 더 포함할 수 있다. 상기 네트워크 패킷을 차단하는 단계는, 상기 차단 IP 데이터베이스에 저장된 IP 주소로부터 수신되는 네트워크 패킷을 차단하는 단계를 포함할 수 있다.
일 실시예에서, 상기 방법(200)은 상기 탐지된 공격 패턴, 상기 공격 패턴이 탐지된 시간, 상기 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 제 1 관계 학습 데이터베이스에 저장하는 단계; 상기 제 1 관계 학습 데이터베이스 내에 동일한 IP 주소에 대해 복수의 공격 패턴이 저장되는 경우, 상기 복수의 공격 패턴 및 상기 복수의 공격 패턴이 탐지된 시간에 의해 결정되는 공격 순서를 포함하는 공격 패턴의 세트를 제 2 관계 학습 데이터베이스에 저장하는 단계; 및 상기 제 2 관계 학습 데이터베이스 내에 소정의 개수의 동일한 공격 패턴의 세트가 저장되는 경우, 상기 공격 패턴의 세트를 관계형 공격 패턴으로서 상기 공격 패턴 데이터베이스에 저장하는 단계를 더 포함할 수 있다. 여기서, 상기 제 1 관계 학습 데이터베이스에 저장된 공격 패턴, 상기 공격 패턴이 탐지된 시간, 상기 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소는 저장된 시간으로부터 소정의 시간이 경과하면 삭제될 수 있다. 상기 소정의 시간 및 개수는 본 발명이 적용되는 실시예에 따라 상이해질 수 있으며, 바람직하게는 상기 소정의 시간은 1일이거나 사용자에 의해 지정되는 임의의 시간일 수 있고, 상기 소정의 개수는 2개이거나, 사용자에 의해 지정되는 임의의 개수일 수 있다.
본 발명은 관계형 공격 패턴을 탐지함으로써, 침입 차단 시스템의 오탐률을 현저히 감소시킬 수 있으며, 또한, 탐지되는 공격 패턴의 상관관계에 대한 분석을 통해 관계형 공격 패턴을 학습함으로써, 제로-데이(zero-day) 공격에 대해서도 신속한 대응을 가능하게 할 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (16)

  1. 적어도 하나의 네트워크 패킷을 수신하기 위한 수신부;
    악성 코드를 탐지하기 위해 이용되는 공격 패턴을 저장하기 위한 공격 패턴 데이터베이스;
    상기 네트워크 패킷과 상기 공격 패턴 데이터베이스에 저장된 공격 패턴과의 패턴 매칭을 통해, 상기 네트워크 패킷에 포함된 공격 패턴을 탐지하기 위한 공격 패턴 탐지부;
    상기 공격 패턴 탐지부에 의해 탐지된 공격 패턴이 관계형 공격 패턴을 정의하는 복수의 공격 패턴 중 하나인 경우, 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 저장하기 위한 관계 판단 데이터베이스;
    상기 관계 판단 데이터베이스에 저장된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 상기 공격 패턴 데이터베이스를 참조하여 판단하기 위한 관계형 공격 판단부; 및
    상기 공격 패턴 탐지부에 의해 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 상기 관계형 공격 판단부가 판단한 경우, 상기 탐지된 공격 패턴을 포함하는 네트워크 패킷을 차단하기 위한 패킷 차단부를 포함하고,
    상기 공격 패턴 데이터베이스에 저장되는 공격 패턴은 상호 간에 논리적 연관 관계를 갖는 복수의 공격 패턴 및 상기 복수의 공격 패턴 간의 공격 순서에 의해 정의되는 관계형 공격 패턴을 포함하되,
    상기 관계형 공격 판단부는, 상기 관계 판단 데이터베이스 내에 동일한 IP 주소에 대해 복수의 공격 패턴이 존재하고, 상기 복수의 공격 패턴 및 상기 복수의 공격 패턴이 탐지된 시간에 의해 결정되는 공격 순서가 상기 공격 패턴 데이터베이스에 저장된 관계형 공격 패턴에 대응하게 되는 경우, 상기 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 판단하는,
    관계형 공격 패턴을 이용하는 침입 차단 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 관계 판단 데이터베이스에 저장된 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간, 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소는 저장된 시간으로부터 소정의 시간이 경과하면 삭제되는,
    관계형 공격 패턴을 이용하는 침입 차단 시스템.
  4. 제 1 항에 있어서,
    상기 관계형 공격 판단부에 의해 관계형 공격 패턴에 해당한다고 판단된 공격 패턴이 포함되는 네트워크 패킷의 출발지 IP 주소를 저장하기 위한 차단 IP 데이터베이스를 더 포함하고,
    상기 패킷 차단부는 상기 차단 IP 데이터베이스에 저장된 IP 주소로부터 수신되는 네트워크 패킷을 차단하는,
    관계형 공격 패턴을 이용하는 침입 차단 시스템.
  5. 제 1 항에 있어서,
    상기 공격 패턴 탐지부에 의해 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간, 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 저장하기 위한 제 1 관계 학습 데이터베이스;
    상기 제 1 관계 학습 데이터베이스 내에 동일한 IP 주소에 대해 복수의 공격 패턴이 저장되는 경우, 상기 복수의 공격 패턴 및 상기 복수의 공격 패턴이 탐지된 시간에 의해 결정되는 공격 순서를 포함하는 공격 패턴의 세트를 저장하기 위한 제 2 관계 학습 데이터베이스를 더 포함하며,
    상기 제 2 관계 학습 데이터베이스 내에 소정의 개수의 동일한 공격 패턴의 세트가 저장되는 경우, 상기 공격 패턴 데이터베이스는 상기 공격 패턴의 세트를 관계형 공격 패턴으로서 저장하는,
    관계형 공격 패턴을 이용하는 침입 차단 시스템.
  6. 제 5 항에 있어서,
    상기 제 1 관계 학습 데이터베이스에 저장된 공격 패턴, 상기 공격 패턴이 탐지된 시간, 상기 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소는 저장된 시간으로부터 소정의 시간이 경과하면 삭제되는,
    관계형 공격 패턴을 이용하는 침입 차단 시스템.
  7. 제 3 항 또는 제 6 항에 있어서,
    상기 소정의 시간은 1일인,
    관계형 공격 패턴을 이용하는 침입 차단 시스템.
  8. 제 5 항에 있어서,
    상기 소정의 개수는 2개인,
    관계형 공격 패턴을 이용하는 침입 차단 시스템.
  9. 적어도 하나의 네트워크 패킷을 수신하는 단계;
    상기 네트워크 패킷과 공격 패턴 데이터베이스에 저장된 공격 패턴과의 패턴 매칭을 통해, 상기 네트워크 패킷에 포함된 공격 패턴을 탐지하는 단계;
    상기 탐지된 공격 패턴이 관계형 공격 패턴을 정의하는 복수의 공격 패턴 중 하나인 경우, 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 관계 판단 데이터베이스에 저장하는 단계;
    상기 관계 판단 데이터베이스에 저장된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 상기 공격 패턴 데이터베이스를 참조하여 판단하는 단계; 및
    상기 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 판단된 경우, 상기 탐지된 공격 패턴을 포함하는 네트워크 패킷을 차단하는 단계를 포함하고,
    상기 공격 패턴 데이터베이스에는 악성 코드를 탐지하기 위해 이용되는 공격 패턴이 저장되고, 상기 공격 패턴 데이터베이스에 저장되는 공격 패턴은 상호 간에 논리적 연관 관계를 갖는 복수의 공격 패턴 및 상기 복수의 공격 패턴 간의 공격 순서에 의해 정의되는 관계형 공격 패턴을 포함하되,
    상기 탐지된 공격 패턴이 관계형 공격 패턴에 해당하는지 여부를 판단하는 단계는,
    상기 관계 판단 데이터베이스 내에 동일한 IP 주소에 대해 복수의 공격 패턴이 존재하고, 상기 복수의 공격 패턴 및 상기 복수의 공격 패턴이 탐지된 시간에 의해 결정되는 공격 순서가 상기 공격 패턴 데이터베이스에 저장된 관계형 공격 패턴에 대응하게 되는 경우, 상기 탐지된 공격 패턴이 관계형 공격 패턴에 해당한다고 판단하는 단계를 포함하는,
    관계형 공격 패턴을 이용하는 침입 차단 방법.
  10. 삭제
  11. 제 9 항에 있어서,
    상기 관계 판단 데이터베이스에 저장된 상기 탐지된 공격 패턴, 상기 탐지된 공격 패턴이 탐지된 시간 및 상기 탐지된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소는 저장된 시간으로부터 소정의 시간이 경과하면 삭제되는,
    관계형 공격 패턴을 이용하는 침입 차단 방법.
  12. 제 9 항에 있어서,
    상기 관계형 공격 패턴에 해당한다고 판단된 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 차단 IP 데이터베이스에 저장하는 단계를 더 포함하고,
    상기 네트워크 패킷을 차단하는 단계는,
    상기 차단 IP 데이터베이스에 저장된 IP 주소로부터 수신되는 네트워크 패킷을 차단하는 단계를 포함하는,
    관계형 공격 패턴을 이용하는 침입 차단 방법.
  13. 제 9 항에 있어서,
    상기 탐지된 공격 패턴, 상기 공격 패턴이 탐지된 시간, 상기 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소를 제 1 관계 학습 데이터베이스에 저장하는 단계;
    상기 제 1 관계 학습 데이터베이스 내에 동일한 IP 주소에 대해 복수의 공격 패턴이 저장되는 경우, 상기 복수의 공격 패턴 및 상기 복수의 공격 패턴이 탐지된 시간에 의해 결정되는 공격 순서를 포함하는 공격 패턴의 세트를 제 2 관계 학습 데이터베이스에 저장하는 단계; 및
    상기 제 2 관계 학습 데이터베이스 내에 소정의 개수의 동일한 공격 패턴의 세트가 저장되는 경우, 상기 공격 패턴의 세트를 관계형 공격 패턴으로서 상기 공격 패턴 데이터베이스에 저장하는 단계를 더 포함하는,
    관계형 공격 패턴을 이용하는 침입 차단 방법.
  14. 제 13 항에 있어서,
    상기 제 1 관계 학습 데이터베이스에 저장된 공격 패턴, 상기 공격 패턴이 탐지된 시간, 상기 공격 패턴이 포함된 네트워크 패킷의 출발지 IP 주소는 저장된 시간으로부터 소정의 시간이 경과하면 삭제되는,
    관계형 공격 패턴을 이용하는 침입 차단 방법.
  15. 제 11 항 또는 제 14 항에 있어서,
    상기 소정의 시간은 1일인,
    관계형 공격 패턴을 이용하는 침입 차단 방법.
  16. 제 13 항에 있어서,
    상기 소정의 개수는 2개인,
    관계형 공격 패턴을 이용하는 침입 차단 방법.
KR1020120007986A 2012-01-26 2012-01-26 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 KR101308085B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120007986A KR101308085B1 (ko) 2012-01-26 2012-01-26 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120007986A KR101308085B1 (ko) 2012-01-26 2012-01-26 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130093841A KR20130093841A (ko) 2013-08-23
KR101308085B1 true KR101308085B1 (ko) 2013-09-12

Family

ID=49217862

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120007986A KR101308085B1 (ko) 2012-01-26 2012-01-26 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101308085B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101535716B1 (ko) * 2013-09-10 2015-07-09 이화여자대학교 산학협력단 데이터 마이닝을 이용한 공격 탐지 장치 및 방법
KR102380559B1 (ko) * 2020-05-11 2022-03-30 국방과학연구소 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치
KR102616603B1 (ko) * 2021-08-31 2023-12-21 충북대학교 산학협력단 네트워크 보안 지원 방법 및 이를 이용하는 보안 지원 장치
KR102483826B1 (ko) * 2021-10-18 2023-01-04 (주)라바웨이브 데이터 보안 방법
CN114186225A (zh) * 2021-12-07 2022-03-15 北京天融信网络安全技术有限公司 数据库检测方法、装置、电子设备及存储介质
KR102438865B1 (ko) * 2022-03-14 2022-09-02 (주)라바웨이브 텍스트 필터링을 이용한 데이터 보안 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR100558658B1 (ko) * 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR100558658B1 (ko) * 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20130093841A (ko) 2013-08-23

Similar Documents

Publication Publication Date Title
US11848950B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
US10505953B2 (en) Proactive prediction and mitigation of cyber-threats
US8683588B2 (en) Method of and apparatus for monitoring for security threats in computer network traffic
US8931099B2 (en) System, method and program for identifying and preventing malicious intrusions
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
Sandhu et al. A survey of intrusion detection & prevention techniques
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
CN106330944B (zh) 恶意系统漏洞扫描器的识别方法和装置
CN107968791B (zh) 一种攻击报文的检测方法及装置
JP2008011537A (ja) ネットワークセキュリティデバイスにおけるパケット分類
Lah et al. Proposed framework for network lateral movement detection based on user risk scoring in siem
KR101499470B1 (ko) 악성코드 전이 탐지를 이용한 apt 공격 방어 시스템 및 그 방어 방법
US10419480B1 (en) System, method, and computer program for real-time cyber intrusion detection and intruder identity analysis
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
EP3338405A1 (en) System and method for detecting attacks on mobile ad hoc networks based on network flux
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
KR101572239B1 (ko) 사용자 브라우저 영역에서 악성 스크립트 탐지 및 실행 방지 장치 및 시스템
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
CN113824730A (zh) 一种攻击分析方法、装置、设备及存储介质
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
KR20210141198A (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
Kim et al. HAS-Analyzer: Detecting HTTP-based C&C based on the Analysis of HTTP Activity Sets
Zhai et al. Network intrusion early warning model based on DS evidence theory

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160905

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180904

Year of fee payment: 6