KR101356013B1 - Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법 - Google Patents

Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법 Download PDF

Info

Publication number
KR101356013B1
KR101356013B1 KR1020130090873A KR20130090873A KR101356013B1 KR 101356013 B1 KR101356013 B1 KR 101356013B1 KR 1020130090873 A KR1020130090873 A KR 1020130090873A KR 20130090873 A KR20130090873 A KR 20130090873A KR 101356013 B1 KR101356013 B1 KR 101356013B1
Authority
KR
South Korea
Prior art keywords
information
outbound
unit
communication
blocking
Prior art date
Application number
KR1020130090873A
Other languages
English (en)
Inventor
남기효
정문권
권환우
Original Assignee
(주)유엠로직스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유엠로직스 filed Critical (주)유엠로직스
Priority to KR1020130090873A priority Critical patent/KR101356013B1/ko
Application granted granted Critical
Publication of KR101356013B1 publication Critical patent/KR101356013B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법에 관한 것으로서, 더욱 상세하게는, 내부 네트워크에서 외부 네트워크로의 아웃바운드 통신을 위한 아웃바운드 정보가 아웃바운드 정보 입력부(10)로 수신되며, 상기 아웃바운드 정보를 아웃바운드 정보 출력부(20)로 전달하여 통신을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 백도어 통신 차단 시스템에 있어서, 상기 아웃바운드 정보 입력부(10)로 수신된 상기 아웃바운드 정보를 전달받아, 상기 아웃바운드 정보에 포함되어 있는 고유 정보를 분석하는 정보 분석부(100), 상기 정보 분석부(100)에서 분석한 상기 고유 정보를 기저장되어 있는 화이트 리스트 및 블랙 리스트와 비교하여, 비교 결과에 따라, 상기 아웃바운드 정보를 정보 전달부(300), 정보 차단부(400) 및 내부 인증 수행부(500) 중 어느 하나로 전달하는 중앙 처리부(200), 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보를 상기 아웃바운드 정보 출력부(20)로 전달하여 상기 아웃바운드 통신을 수행하도록 하는 정보 전달부(300), 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보에 의한 상기 아웃바운드 통신을 차단하는 정보 차단부(400) 및 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보를 이용하여 내부 네트워크 이용을 위한 내부 인증 질의를 수행하여, 수행 결과에 따라, 상기 아웃바운드 정보를 상기 정보 전달부(300) 또는 상기 정보 차단부(400)로 전달하는 내부 인증 수행부(500)를 포함하여 구성되는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 시스템에 관한 것이다.

Description

APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법 {Firewall System and Method for backdoor network of Advanced Persistent Threat Attack}
본 발명은 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법에 관한 것으로, 더욱 상세하게는 아웃바운드 통신을 위한 아웃바운드 정보를 통신이 이루어지기 전에 분석 및 판단하여, APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 악성코드를 업데이트하기 위해 이용되는 백도어 통신을 안전하고 정확하게 차단하고, 차단된 백도어 통신 또는, 백도어 의심 통신에 대한 추가 분석을 통해 APT 공격의 진행 상황을 파악하여 추가적인 대책을 적용함으로써, APT 공격에 의한 피해를 원천적으로 방지할 수 있는 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법에 관한 것이다.
사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다.
다시 말하자면, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.
이러한, APT 공격의 가장 큰 특징 중 하나는 지속성이다. 공격자는 내, 외부에서 지속적으로 공격 대상의 정보를 수집 및 활용하게 된다.
이러한 문제점을 해결하기 위하여,
종래에는 APT 공격의 시발점인 악성코드가 조직 내에 침투하지 않도록 하기 위한 방법으로, 안티 바이러스, 바이러스 월, 정책기반 백도어 필터링 등 악성코드 침입의 탐지 및 차단 기법이 주로 사용되었다.
그러나, 조직에 악성코드를 침투하는 경로가 매우 다양할 뿐만 아니라, APT 공격자들은 공격 표적에 적합한 맞춤형 악성코드를 제작하여 공격을 시도하고, 특히, 악성코드 침투를 시도하기 전에 다양한 안티 바이러스 제품을 이용하여 탐지 여부를 사전 시뮬레이션한 후, 침투를 시도하기 때문에 종래의 기술로 APT 공격을 방어하는 것은 역부족이다.
게다가, 정책기반 백도어 필터링의 경우, 정책으로 설정된 특정 상황에 대해서만 필터링하거나 허용하기 때문에, 백도어 차단 정확도가 매우 낮고, 조직의 업무 가용성을 저하시키는 문제점이 있다.
국내등록특허 제10-0635130호("윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및 방법", 이하 선행문헌 1)에서는 윈도우 네트워크 구성요소 중에서 TDI(Transport Driver Interface) 계층과 NDIS(Network Driver Interface Specification) 계층을 통과하는 네트워크 패킷의 정보를 비교 분석하여 정상적인 네트워크 행위로부터 발생된 네트워크 패킷과 커널 백도어와 같은 악성 네트워크 행위로부터 발생된 네트워크 패킷을 서로 구분하여 커널 백도어를 탐지함과 아울러, 이러한 커널 백도어로부터 발생된 네트워크 패킷을 필터링하여 커널 백도어로 인한 침입을 방지할 수 있는 커널 백도어 탐지 시스템 및 방법을 개시하고 있다.
그러나, 선행문헌 1은 상기 네트워크 패킷이 의심호일 경우에 대한 네트워크 패킷 필터링 방법에 대해서 전혀 개시되어 있지 않다.
국내등록특허 제10-0635130호(등록일자 2006.10.10.)
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 아웃바운드 통신을 위한 아웃바운드 정보를 통신이 이루어지기 전에 분석 및 판단하여, APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 악성코드를 업데이트하기 위해 이용되는 백도어 통신을 안전하고 정확하게 차단하고, 차단된 백도어 통신 또는, 백도어 의심 통신에 대한 추가 분석을 통해 APT 공격의 진행 상황을 파악하여 추가적인 대책을 적용함으로써, APT 공격에 의한 피해를 원천적으로 방지하여 중요정보가 유출되는 것을 예방할 수 있는 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템은, 내부 네트워크에서 외부 네트워크로의 아웃바운드 통신을 위한 아웃바운드 정보가 아웃바운드 정보 입력부(10)로 수신되며, 상기 아웃바운드 정보를 아웃바운드 정보 출력부(20)로 전달하여 통신을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 백도어 통신 차단 시스템에 있어서, 상기 아웃바운드 정보 입력부(10)로 수신된 상기 아웃바운드 정보를 전달받아, 상기 아웃바운드 정보에 포함되어 있는 고유 정보를 분석하는 정보 분석부(100), 상기 정보 분석부(100)에서 분석한 상기 고유 정보를 기저장되어 있는 화이트 리스트 및 블랙 리스트와 비교하여, 비교 결과에 따라, 상기 아웃바운드 정보를 정보 전달부(300), 정보 차단부(400) 및 내부 인증 수행부(500) 중 어느 하나로 전달하는 중앙 처리부(200), 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보를 상기 아웃바운드 정보 출력부(20)로 전달하여 상기 아웃바운드 통신을 수행하도록 하는 정보 전달부(300), 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보에 의한 상기 아웃바운드 통신을 차단하는 정보 차단부(400) 및 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보를 이용하여 내부 네트워크 이용을 위한 내부 인증 질의를 수행하여, 수행 결과에 따라, 상기 아웃바운드 정보를 상기 정보 전달부(300) 또는 상기 정보 차단부(400)로 전달하는 내부 인증 수행부(500)를 포함하여 구성되는 것을 특징으로 한다.
이 때, 상기 중앙 처리부(200)는 상기 아웃바운드 정보의 고유 정보가 상기 화이트 리스트와 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 전달부(300)로 전달하고,
상기 아웃바운드 정보의 고유 정보가 상기 블랙 리스트와 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 차단부(400)로 전달하며,
상기 아웃바운드 정보의 고유 정보가 상기 화이트 리스트 및 상기 블랙 리스트 모두에 매칭되거나, 상기 화이트 리스트 및 상기 블랙 리스트 모두에 매칭되지 않을 경우, 상기 아웃바운드 정보를 상기 내부 인증 수행부(500)로 전달하는 것을 특징으로 한다.
더불어, 상기 내부 인증 수행부(500)는 상기 아웃바운드 정보에 대한 호스트에게 상기 내부 인증 질의를 수행하여, 호스트로부터 입력받은 응답을 기저장되어 있는 정답과 비교하여, 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 전달부(300)로 전달하고, 호스트로부터 소정 시간 동안 응답이 입력되지 않거나, 호스트로부터 입력받은 응답을 기저장되어 있는 정답과 비교하여, 매칭되지 않을 경우, 상기 아웃바운드 정보를 상기 정보 차단부(400)로 전달하는 것을 특징으로 한다.
또한, 상기 내부 인증 수행부(500)는 호스트로부터 입력받은 응답을 기저장되어 있는 정답과 비교하여, 매칭되지 않을 경우, 상기 내부 인증 질의를 소정 횟수 반복하여 수행하는 것을 특징으로 한다.
게다가, 상기 APT 공격에 의한 백도어 통신 차단 시스템은 상기 정보 차단부(400)에 의해서 상기 아웃바운드 통신이 차단된 상기 아웃바운드 정보를 데이터베이스화하여 저장 및 관리하고, 외부의 요청에 따라, 차단된 상기 아웃바운드 정보를 제공하는 차단 정보 관리부(410)를 더 포함하여 구성되는 것을 특징으로 한다.
또한, 상기 APT 공격에 의한 백도어 통신 차단 시스템은 상기 화이트 리스트를 관리하는 화이트 리스트 관리부(610)와, 상기 블랙 리스트를 관리하는 블랙 리스트 관리부(620)로 구성되는 리스트 관리부(600)를 더 포함하여 구성되며, 상기 내부 인증 수행부(500)는 내부 인증 질의 결과에 따라, 상기 화이트 리스트 또는 블랙 리스트로 판단된 상기 아웃바운드 정보를 상기 리스트 관리부(600)로 전달하여 실시간으로 업데이트가 이루어질 수 있도록 하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 방법은, 내부 네트워크에서 외부 네트워크로의 아웃바운드 통신을 위한 아웃바운드 정보가 아웃바운드 정보 입력부로 수신되는 정보 수신 단계(S100), 상기 정보 수신 단계(S100)에 의해 수신된 상기 아웃바운드 정보에 포함되어 있는 고유 정보를 분석하는 정보 분석 단계(S200), 상기 정보 분석 단계(S200)에 의해 분석한 상기 고유 정보와 기저장되어 있는 화이트 리스트 및 블랙 리스트와 비교, 판단하여, 결과에 따라, 상기 아웃바운드 정보를 정보 전달부, 정보 차단부 및 내부 인증 수행부 중 어느 하나로 전달하는 정보 판단 단계(S300), 상기 정보 전달부에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보를 아웃바운드 정보 출력부로 전달하여 아웃바운드 통신을 수행하도록 하는 통신 단계(S400), 상기 정보 차단부에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보에 의한 아웃바운드 통신을 차단하는 통신 차단 단계(S500) 및 내부 인증 수행부에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보에 내부 인증 질의를 수행하여, 수행 결과에 따라, 상기 아웃바운드 정보를 상기 통신 단계(S400) 또는, 상기 통신 차단 단계(S500)로 전달하는 내부 인증 수행 단계(S600)를 포함하여 이루어지는 것을 특징으로 한다.
이 때, 상기 APT 공격에 의한 백도어 통신 차단 방법은 상기 정보 판단 단계(S300)에 의한 상기 고유 정보와 상기 화이트 리스트 및 블랙 리스트와의 비교, 판단 결과에 따라, 상기 아웃바운드 정보의 고유 정보가 상기 화이트 리스트와 매칭될 경우, 상기 통신 단계(S400)를 수행하고,
상기 아웃바운드 정보의 고유 정보가 상기 블랙 리스트와 매칭될 경우, 상기 통신 차단 단계(S500)를 수행하며,
상기 아웃바운드 정보의 고유 정보가 상기 화이트 리스트와 상기 블랙 리스트 모두에 매칭되거나, 모두에 매칭되지 않을 경우, 상기 내부 인증 수행 단계(S600)를 수행하는 것을 특징으로 한다.
또한, 상기 내부 인증 수행 단계(S600)는 내부 인증 수행부에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보에 대한 호스트에게 내부 인증 질의를 수행하는 내부 인증 질의 수행 단계(S610) 및 상기 내부 인증 질의 수행 단계(S610)의 결과에 따라, 호스트로부터 입력받은 응답이 기저장되어 있는 정답과 매칭되는지 판단하는 인증 통과 판단 단계(S620)로 이루어지는 것을 특징으로 하며, 상기 인증 통과 판단 단계(S620)의 결과에 따라, 호스트로부터 입력받은 응답이 기저장되어 있는 정답과 매칭될 경우, 상기 통신 단계(S400)를 수행하고, 호스트로부터 소정 시간 동안 응답이 입력되지 않거나, 호스트로부터 입력받은 응답을 기저장되어 있는 정답과 매칭되지 않을 경우, 상기 통신 차단 단계(S500)를 수행하는 것을 특징으로 한다.
더불어, 상기 APT 공격에 의한 백도어 통신 차단 방법은 상기 통신 차단 단계(S500)를 수행한 후, 상기 아웃바운드 통신이 차단된 상기 아웃바운드 정보를 데이터베이스화하여 저장 및 관리하고, 외부의 요청에 따라, 차단된 상기 아웃바운드 정보를 제공하는 정보 관리 단계(S510)를 더 포함하여 구성되는 것을 특징으로 한다.
상기와 같은 구성에 의하 본 발명의 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법은 아웃바운드 통신을 위한 아웃바운드 정보를 통신이 이루어지기 전에 분석 및 판단하여, APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 악성코드를 업데이트하기 위해 이용되는 백도어 통신을 안전하고 정확하게 차단함으로써, APT 공격에 의한 백도어 통신을 이용한 악성코드 업데이트 및 악성코드 감염확산을 보다 안전하고 정확하게 차단할 수 있는 효과가 있다.
이에 따라, APT 공격에 의해 중요정보가 유출되는 것을 예방할 수 있는 효과가 있다.
또한, 차단된 백도어 통신 또는, 백도어 의심 통신에 대한 추가 분석을 통해 APT 공격의 진행 상황을 파악하여 추가적인 대책을 적용하여 APT 공격에 의한 피해를 원천적으로 방지할 수 있는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템을 간략하게 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템을 상세하게 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 방법을 간략하게 나타낸 순서도이다.
도 4는 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 방법을 상세하게 나타낸 순서도이다.
이하 첨부한 도면들을 참조하여 본 발명의 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이 때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
본 발명의 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법은 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 악성코드가 내부 네트워크에 침투한 상태일지라도, 내부 네트워크 내 중요정보에 접근하기 위한 추가적인 감염 확산 또는, 악성코드 업데이트를 위해 필수적으로 수행되는 백도어 통신을 근본적으로 차단할 수 있는 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법에 관한 것이다.
도 1은 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템을 간략하게 나타낸 도면이며, 도 2는 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템을 상세하게 나타낸 도면이다.
도 1 및 도 2를 참조로 하여 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템을 상세히 설명한다.
본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템은 도 1 및 도 2에 도시된 바와 같이, 정보 분석부(100), 중앙 처리부(200), 정보 전달부(300), 정보 차단부(400), 내부 인증 수행부(500) 및 리스트 관리부(600)를 포함하여 구성될 수 있다.
본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템은 내부 네트워크에서 외부 네트워크로의 아웃바운드(Outbound) 통신을 위한 아웃바운드 정보가 아웃바운드 정보 입력부(10)로 수신되며, 수신받은 상기 아웃바운드 정보를 아웃바운드 정보 출력부(20)로 전달하여 아웃바운드 통신을 수행하도록 할 수 있다.
각 구성에 대해서 자세히 알아보자면,
상기 정보 분석부(100)는 상기 아웃바운드 정보 입력부(10)로 수신된 상기 아웃바운드 정보를 전달받아, 상기 아웃바운드 정보에 포함되어 있는 고유 정보를 분석할 수 있다.
상기 고유 정보로는, 상기 아웃바운드 정보에 미리 저장되어 있는 상기 아웃바운드 통신의 응용 서비스 종류, 송신자 및 수신자 IP 주소, 포트 숫자 등을 의미하며, 이는 본 발명의 일 실시예에 불과하다. 다시 말하자면, 상기 고유 정보는 상기 아웃바운드 정보를 식별하기 위한 다양한 정보를 포함하여 구성될 수 있다.
상기 중앙 처리부(200)는 상기 정보 분석부(100)에서 분석한 상기 고유 정보를 미리 저장되어 있는 화이트 리스트 및 블랙 리스트와 비교, 판단할 수 있다. 상기 중앙 처리부(200)는 상기 비교, 판단 결과에 따라, 상기 고유 정보를 포함하고 있는 상기 아웃바운드 정보를 상기 정보 전달부(300), 정보 차단부(400) 및 내부 인증 수행부(500) 중 어느 하나로 전달할 수 있다.
이 때, 상기 화이트 리스트 및 블랙 리스트는 상기 리스트 관리부(600)에 저장 및 관리할 수 있다. 좀 더 상세하게는, 상기 리스트 관리부(600)는 화이트 리스트 관리부(610) 및 블랙 리스트 관리부(620)로 구성될 수 있으며, 상기 화이트 리스트는 상기 화이트 리스트 관리부(610)에서 저장 및 관리하고, 상기 블랙 리스트는 상기 블랙 리스트 관리부(620)에서 저장 및 관리할 수 있다.
또한, 상기 리스트 관리부(600)는 상기 내부 인증 수행부(500)의 내부 인증 결과에 따라, 상기 화이트 리스트 및 블랙 리스트를 실시간으로 업데이트하여 저장 및 관리할 수 있다.
이를 통해서 상기 중앙 처리부(200)로 항상 최신의 상기 화이트 리스트 및 블랙 리스트만을 전달할 수 있으며, 상기 중앙 처리부(200)는 최신의 상기 화이트 리스트 및 블랙 리스트를 이용하여 상기 고유 정보와 매칭되는지 비교, 판단할 수 있다.
상기 중앙 처리부(200)는 상기 아웃바운드 정보에 포함되어 있는 상기 고유 정보가 상기 리스트 관리부(600)로부터 전달받은 상기 화이트 리스트 및 상기 블랙 리스트와 비교, 판단하여, 상기 화이트 리스트와 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 전달부(300)로 전달할 수 있다.
이와 반대로, 상기 아웃바운드 정보에 포함되어 있는 상기 고유 정보가 상기 블랙 리스트와 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 차단부(400)로 전달할 수 있다.
상기 정보 전달부(300)는 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보를 상기 아웃바운드 정보 출력부(20)로 전달하여, 상기 아웃바운드 정보를 이용한 상기 아웃바운드 통신을 수행하도록 할 수 있으며,
상기 정보 차단부(400)는 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보에 의한 상기 아웃바운드 통신을 차단할 수 있다.
즉, 상기 블랙 리스트에 포함되는 상기 아웃바운드 정보에 의한 상기 아웃바운드 통신은 APT 공격에 의한 악성코드의 업데이트나 악성코드의 추가적인 감염 확산을 위해서 이용되는 백도어 통신을 판단하여, 상기 아웃바운드 통신을 차단할 수 있다.
본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템의 상기 중앙 처리부(200)는 종래의 통신 차단 시스템과 같이 특정 정보의 악의호, 선의호 여부를 판단하기 위하여, 악의호 또는 선의호 중 선택된 어느 하나와 각각 비교 판단하여 어느 하나와 매칭되지 않을 경우, 또다른 하나와 비교 판단하는 것이 아니라,
우선적으로 상기 화이트 리스트, 상기 블랙 리스트 모두와 상기 고유 정보를 비교, 판단하여 상기 아웃바운드 정보가 상기 화이트 리스트 및 상기 블랙 리스트에 중복으로 포함되는지 판단하게 된다.
상기 중복 포함 판단 결과에 따라서, 중복이 아닌 어느 하나에만 포함될 경우, 상기 화이트 리스트 및 상기 블랙 리스트 각각과 비교, 판단하면서, 상기 아웃바운드 정보가 상기 화이트 리스트와 매칭되는지, 상기 블랙 리스트와 매칭되는지 또는 어디에도 포함되지 않는지 판단할 수 있다.
다시 말하자면, 상기 중앙 처리부(200)는 상기 아웃바운드 정보에 포함되어 있는 상기 고유 정보가 상기 리스트 관리부(600)로부터 전달받은 상기 화이트 리스트 및 상기 블랙 리스트와 비교, 판단하여, 상기 화이트 리스트, 상기 블랙 리스트 모두에 매칭되거나, 모두에 매칭되지 않을 경우, 상기 아웃바운드 정보를 상기 내부 인증 수행부(500)로 전달할 수 있다.
이를 통해서, 화이트 리스트인지 블랙 리스트인지 명확하지 않은 상기 아웃바운드 정보에 대해서 다시 한번 인증 절차를 거침으로써 APT 공격에 의한 백도어 통신을 지능적으로 발견하여 보다 안전하고 정확하게 차단할 수 있는 장점이 있다.
상기 내부 인증 수행부(500)는 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보를 이용하여, 상기 아웃바운드 통신이 백도어 통신이 아니라는 것을 인증하기 위해서, 즉, 내부 네트워크 이용을 위한 내부 인증 질의를 수행하여, 수행 결과에 따라 상기 아웃바운드 정보를 상기 정보 전달부(300) 또는, 상기 정보 차단부(400)로 전달할 수 있다.
자세히 알아보자면, 상기 내부 인증 수행부(500)는 상기 아웃바운드 정보에 따라, 랜덤하게 내부자 인증 방식과 이에 대응하는 내부자 인증 질의 사항 및 인증 규칙을 생성할 수 있다.
이를 통해서, 상기 아웃바운드 정보에 대한 호스트에게 상기 내부 인증 질의를 수행할 수 있다.
상기 내부 인증 수행부(500)는 호스트로부터 입력받은 응답을 미리 저장되어 있는 정답과 비교하여, 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 전달부(300)로 전달하게 된다.
이와 반대로, 호스트로부터 입력받은 응답을 미리 저장되어 있는 정답과 비교하여 매칭되지 않거나, 호스트로부터 소정 시간동안 응답이 입력되지 않을 경우, 상기 아웃바운드 정보를 상기 정보 차단부(400)로 전달하게 된다.
이 때, 호스트로부터 입력받은 응답이 미리 저장되어 있는 정답과 비교하여 매칭되지 않을 경우, 상기 내부 인증 수행부(500)는 상기 내부 인증 질의를 소정 횟수 반복하여 수행하여 상기 내부 인증 질의에 대한 정확도를 높일 수 있다.
여기서, 상기 소정 횟수 및 소정 시간은 관리자에 의해서 임의로 변경될 수 있다.
다시 말하자면, 상기 내부 인증 수행부(500)에서의 상기 내부 인증 질의에 따라서 상기 정보 전달부(300)로 전달되는 상기 아웃바운드 정보는 상기 화이트 리스트이며, 상기 정보 차단부(400)로 전달되는 상기 아웃바운드 정보는 상기 블랙 리스트인 것을 알 수 있다.
상기 내부 인증 수행부(500)는 상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보의 상기 정보 전달부(300) 또는 상기 정보 차단부(400)의 전달 정보를 상기 리스트 관리부(600)로 전달함으로써, 상기 리스트 관리부(600)에서 실시간으로 저장되어 있는 상기 화이트 리스트 및 상기 블랙 리스트를 업데이트할 수 있는 효과가 있다.
더불어, 본 발명의 일 실시예에 따른 상기 APT 공격에 의한 백도어 통신 차단 시스템은 차단 정보 관리부(410)를 더 포함하여 구성될 수 있다.
상기 차단 정보 관리부(410)는 상기 정보 차단부(400)에 의해서 상기 아웃바운드 통신이 차단된 상기 아웃바운드 정보를 데이터베이스화하여 저장 및 관리할 수 있다.
또한, 외부의 요청에 따라 차단된 상기 아웃바운드 정보를 제공할 수도 있다.
이를 통해서, 상기 아웃바운드 정보를 통한 APT 공격에 의한 백도어 통신 진행상황을 파악할 수 있으며, 파악한 진행상황을 토대로 추가적인 대책을 적용하여 APT 공격에 의한 피해를 원천적으로 방지할 수 있는 효과가 있다.
도 3은 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 방법을 간략하게 나타낸 순서도이며, 도 4는 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 방법을 상세하게 나타낸 순서도이다.
도 3 및 도 4를 참조로 하여 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 방법을 상세히 설명한다.
본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 방법은 도 3에 도시된 바와 같이, 정보 수신 단계(S100), 정보 분석 단계(S200), 정보 판단 단계(S300) 및 상기 정보 판단 단계(S400)의 결과에 따라 통신 수행 단계(S400), 통신 차단 단계(S500) 또는, 상기 내부 인증 수행 단계(S600)를 포함하여 이루어질 수 있다.
본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 방법은 상술한 바와 같이, 내부 네트워크에서 외부 네트워크로의 아웃바운드 통신을 위한 아웃바운드 정보가 상기 아웃바운드 정보 입력부(10)로 수신되며, 수신받은 상기 아웃바운드 정보를 상기 아웃바운드 정보 출력부(20)로 전달하여 아웃바운드 통신이 용이하게 수행될 수 있도록 할 수 있다.
각 단계에 대해서 자세히 알아보자면,
상기 정보 수신 단계(S100)는 상기 아웃바운드 통신을 위한 상기 아웃바운드 정보가 상기 아웃바운드 정보 입력부(10)로 수신된다.
상기 정보 분석 단계(S200)는 상기 정보 분석부(100)에서 상기 정보 수신 단계(S100)에 의해 상기 아웃바운드 정보 입력부(10)로 수신된 상기 아웃바운드 정보에 포함되어 있는 상기 고유 정보를 분석할 수 있다.
상기 정보 판단 단계(S300)는 상기 정보 처리부(200)에서 상기 정보 분석 단계(S200)에 의해 분석한 상기 고유 정보를 상기 리스트 관리부(600)에 미리 저장되어 있는 상기 화이트 리스트 및 블랙 리스트와 비교, 판단할 수 있다.
상기 비교, 판단 결과에 따라, 상기 고유 정보를 포함하고 있는 상기 아웃바운드 정보를 상기 정보 전달부(300), 정보 차단부(400) 및 내부 인증 수행부(500) 중 어느 하나로 전달할 수 있다.
상기 정보 판단 단계(S300)는 도 4에 도시된 바와 같이, 상기 정보 분석 단계(S200)에 의해 분석한 상기 고유 정보가 상기 화이트 리스트와 블랙 리스트에 중복으로 매칭(포함)되어 있는지 판단(S310)할 수 있으며,
상기 판단(S310) 결과에 따라, 상기 고유 정보가 상기 화이트 리스트와 블랙 리스트에 중복으로 매칭(포함)되어 있을 경우, 상기 내부 인증 수행 단계(S600)를 수행하도록 할 수 있다.
이와 반대로, 상기 판단(S310) 결과에 따라, 상기 고유 정보가 상기 화이트 리스트와 블랙 리스트에 중복으로 매칭(포함)되어 있지 않을 경우, 상기 고유 정보가 상기 화이트 리스트에 매칭(포함)되어 있는지 판단(S320)할 수 있다.
상기 판단(S320) 결과에 따라, 상기 고유 정보가 상기 화이트 리스트에 매칭(포함)되어 있을 경우, 상기 통신 수행 단계(S400)를 수행하도록 할 수 있다.
이와 반대로, 상기 판단(S320) 결과에 따라, 상기 고유 정보가 상기 화이트 리스트에 매칭(포함)되어 있지 않을 경우, 상기 고유 정보가 상기 블랙 리스트에 매칭(포함)되어 있는지 판단(S330)할 수 있다.
상기 판단(S330) 결과에 따라, 상기 고유 정보가 상기 블랙 리스트에 매칭(포함)되어 있을 경우, 상기 통신 차단 단계(S500)를 수행하도록 할 수 있다.
이와 반대로, 상기 판단(S330) 결과에 따라, 상기 고유 정보가 상기 블랙 리스트에 매칭(포함)되어 있지 않을 경우, 다시 말하자면, 상기 고유 정보를 포함하고 있는 상기 아웃바운드 정보가 상기 화이트 리스트 및 상기 블랙 리스트 모두에 매칭(포함)되어 있지 않을 경우, 상기 내부 인증 수행 단계(S600)를 수행하도록 할 수 있다.
상기 통신 단계(S400)는 상기 정보 전달부(300)에서 상기 정보 판단 단계(S300)에서의 판단 결과에 따라 전달받은 상기 아웃바운드 정보를 상기 아웃바운드 정보 출력부(20)로 전달하여 상기 아웃바운드 정보를 이용한 상기 아웃바운드 통신을 수행하도록 할 수 있다.
상기 통신 차단 단계(S500)는 상기 정보 차단부(400)에서 상기 정보 판단 단계(S300)에서의 판단 결과에 따라 전달받은 상기 아웃바운드 정보에 의한 상기 아웃바운드 통신을 차단할 수 있다.
즉, 상기 블랙 리스트에 매칭되는 상기 아웃바운드 정보에 의한 상기 아웃바운드 통신은 APT 공격에 의한 악성코드의 업데이트나 악성코드의 추가적인 감염 확산을 위해서 이용되는 백도어 통신을 판단하여, 상기 아웃바운드 통신을 차단할 수 있다.
상기 내부 인증 수행 단계(S600)는 상기 내부 인증 수행부(500)에서 상기 정보 판단 단계(S300)에서의 판단 결과에 따라, 전달받은 상기 아웃바운드 정보를 이용하여, 상기 내부 인증 질의를 수행할 수 있다.
상기 내부 인증 질의 수행 결과에 따라, 상기 아웃바운드 정보를 상기 정보 전달부(300) 또는, 상기 정보 차단부(400)로 전달하여, 상기 통신 단계(S400) 또는 상기 통신 차단 단계(S500)를 수행하도록 할 수 있다.
상기 내부 인증 수행 단계(S600)는 도 4에 도시된 바와 같이, 내부 인증 질의 수행 단계(S610) 및 인증 통과 판단 단계(S620)를 포함하여 이루어질 수 있다.
상기 내부 인증 질의 수행 단계(S610)는 상기 내부 인증 수행부(500)에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보에 대한 호스트에게 상기 내부 인증 질의를 수행할 수 있다.
자세히 알아보자면, 상기 내부 인증 수행부(500)는 상기 아웃바운드 정보에 따라, 랜덤하게 내부자 인증 방식과 이에 대응하는 내부자 인증 질의 사항 및 인증 규칙을 생성할 수 있으며, 이를 통해서 상기 아웃바운드 정보에 대한 호스트에게 상기 내부 인증 질의를 수행할 수 있다.
상기 인증 통과 판단 단계(S620)는 상기 내부 인증 수행부(500)에서 상기 내부 인증 질의 수행 단계(S610)의 수행 결과에 따라, 호스트로부터 입력받은 응답이 미리 저장되어 있는 정답과 비교하여 매칭여부를 판단할 수 있다.
상기 인증 통과 판단 단계(S620)의 판단 결과에 따라, 호스트로부터 입력받은 응답이 미리 저장되어 있는 정답과 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 전달부(300)로 전달하여 상기 통신 단계(S400)를 수행하도록 할 수 있으며,
상기 인증 통과 판단 단계(S620)의 판단 결과에 따라, 호스트로부터 입력받은 응답이 미리 저장되어 있는 정답과 매칭되지 않거나, 소정 시간 동안 응답이 입력되지 않을 경우, 상기 아웃바운드 정보를 상기 정보 차단부(400)로 전달하여 상기 통신 차단 단계(S500)를 수행하도록 할 수 있다.
이 때, 상기 인증 통과 판단 단계(S620)는 호스트로부터 입력받은 응답이 미리 저장되어 있는 정답과 매칭되지 않을 경우, 상기 내부 인증 질의 수행 단계(S610)를 소정 횟수 반복하여 수행함으로써, 상기 내부 인증 질의에 대한 정확도를 높일 수 있다.
또한, 본 발명의 일 실시예에 따른 상기 APT 공격에 의한 백도어 통신 차단 방법은 상기 통신 차단 단계(S500)를 수행한 후, 도 4에 도시된 바와 같이, 정보 관리 단계(S510)를 더 포함하여 이루어질 수 있다.
상기 정보 관리 단계(S510)는 상기 차단 정보 관리부(410)에서 상기 통신 차단 단계(S500)에 의해 상기 아웃바운드 통신이 차단된 상기 아웃바운드 정보를 데이터베이스화하여 저장 및 관리할 수 있으며,
외부의 요청에 따라 차단된 상기 아웃바운드 정보를 제공할 수 있다.
즉, 다시 말하자면, 본 발명의 일 실시예에 따른 APT 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법은 상기 아웃바운드 통신을 위한 상기 아웃바운드 정보를 상기 아웃바운드 통신이 이루어지기 전에 미리 검사할 수 있으며,
검사를 통해서 상기 아웃바운드 정보가 블랙 리스트인지, 화이트 리스트인지 판단하여 이에 맞게 통신을 허용하거나 차단할 수 있다.
이 때, 상기 아웃바운드 정보가 블랙 리스트 및 화이트 리스트에 모두 포함되어 있거나, 포함되어 있지 않을 경우, 상기 아웃바운드 통신에 대한 안정성을 높이기 위해서 한번더 내부 인증 질의를 수행할 수 있다.
내부 인증 질의를 통해서, 불명확한 상기 아웃바운드 정보가 정확히 블랙 리스트인지 화이트 리스트인지 판단 가능하여, 이에 따른 통신 허용 또는 차단이 가능하다.
이에 따라, 아웃바운드 통신을 이용한 APT 공격에 의한 백도어 통신을 안정하고 정확하게 차단할 수 있는 장점이 있다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
10 : 아웃바운드 정보 입력부
20 : 아웃바운드 정보 출력부
100 : 정보 분석부
200 : 중앙 처리부
300 : 정보 전달부
400 : 정보 차단부 410 : 차단 정보 관리부
500 : 내부 인증 수행부
600 : 리스트 관리부
610 : 화이트 리스트 관리부 620 : 블랙 리스트 관리부

Claims (9)

  1. 내부 네트워크에서 외부 네트워크로의 아웃바운드 통신을 위한 아웃바운드 정보가 아웃바운드 정보 입력부(10)로 수신되며, 상기 아웃바운드 정보를 아웃바운드 정보 출력부(20)로 전달하여 통신을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 백도어 통신 차단 시스템에 있어서,
    상기 아웃바운드 정보 입력부(10)로 수신된 상기 아웃바운드 정보를 전달받아, 상기 아웃바운드 정보에 포함되어 있는 고유 정보를 분석하는 정보 분석부(100);
    상기 정보 분석부(100)에서 분석한 상기 고유 정보를 기저장되어 있는 화이트 리스트 및 블랙 리스트와 비교하여, 비교 결과에 따라, 상기 아웃바운드 정보를 정보 전달부(300), 정보 차단부(400) 및 내부 인증 수행부(500) 중 어느 하나로 전달하는 중앙 처리부(200);
    상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보를 상기 아웃바운드 정보 출력부(20)로 전달하여 상기 아웃바운드 통신을 수행하도록 하는 정보 전달부(300);
    상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보에 의한 상기 아웃바운드 통신을 차단하는 정보 차단부(400); 및
    상기 중앙 처리부(200)로부터 전달받은 상기 아웃바운드 정보를 이용하여 내부 네트워크 이용을 위한 내부 인증 질의를 수행하여, 수행 결과에 따라, 상기 아웃바운드 정보를 상기 정보 전달부(300) 또는 상기 정보 차단부(400)로 전달하는 내부 인증 수행부(500);
    를 포함하여 구성되며,
    상기 중앙 처리부(200)는
    상기 아웃바운드 정보의 고유 정보가 상기 화이트 리스트 및 상기 블랙 리스트 모두에 매칭되거나, 상기 화이트 리스트 및 상기 블랙 리스트 모두에 매칭되지 않을 경우, 상기 아웃바운드 정보를 상기 내부 인증 수행부(500)로 전달하는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 시스템.
  2. 제 1항에 있어서,
    상기 중앙 처리부(200)는
    상기 아웃바운드 정보의 고유 정보가 상기 화이트 리스트와 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 전달부(300)로 전달하고,
    상기 아웃바운드 정보의 고유 정보가 상기 블랙 리스트와 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 차단부(400)로 전달하는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 시스템.
  3. 제 1항에 있어서,
    상기 내부 인증 수행부(500)는
    상기 아웃바운드 정보에 대한 호스트에게 상기 내부 인증 질의를 수행하여,
    호스트로부터 입력받은 응답을 기저장되어 있는 정답과 비교하여, 매칭될 경우, 상기 아웃바운드 정보를 상기 정보 전달부(300)로 전달하고,
    호스트로부터 소정 시간 동안 응답이 입력되지 않거나,
    호스트로부터 입력받은 응답을 기저장되어 있는 정답과 비교하여, 매칭되지 않을 경우, 상기 아웃바운드 정보를 상기 정보 차단부(400)로 전달하는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 시스템.
  4. 제 1항에 있어서,
    상기 APT 공격에 의한 백도어 통신 차단 시스템은
    상기 정보 차단부(400)에 의해서 상기 아웃바운드 통신이 차단된 상기 아웃바운드 정보를 데이터베이스화하여 저장 및 관리하고,
    외부의 요청에 따라, 차단된 상기 아웃바운드 정보를 제공하는 차단 정보 관리부(410);
    를 더 포함하여 구성되는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 시스템.
  5. 제 1항에 있어서,
    상기 APT 공격에 의한 백도어 통신 차단 시스템은
    상기 화이트 리스트를 관리하는 화이트 리스트 관리부(610)와, 상기 블랙 리스트를 관리하는 블랙 리스트 관리부(620)로 구성되는 리스트 관리부(600);
    를 더 포함하여 구성되며,
    상기 내부 인증 수행부(500)는
    내부 인증 질의 결과에 따라, 상기 화이트 리스트 또는 블랙 리스트로 판단된 상기 아웃바운드 정보를 상기 리스트 관리부(600)로 전달하여 실시간으로 업데이트가 이루어질 수 있도록 하는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 시스템.
  6. 내부 네트워크에서 외부 네트워크로의 아웃바운드 통신을 위한 아웃바운드 정보가 아웃바운드 정보 입력부로 수신되는 정보 수신 단계(S100);
    상기 정보 수신 단계(S100)에 의해 수신된 상기 아웃바운드 정보에 포함되어 있는 고유 정보를 분석하는 정보 분석 단계(S200);
    상기 정보 분석 단계(S200)에 의해 분석한 상기 고유 정보와 기저장되어 있는 화이트 리스트 및 블랙 리스트와 비교, 판단하여, 결과에 따라, 상기 아웃바운드 정보를 정보 전달부, 정보 차단부 및 내부 인증 수행부 중 어느 하나로 전달하는 정보 판단 단계(S300);
    상기 정보 전달부에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보를 아웃바운드 정보 출력부로 전달하여 아웃바운드 통신을 수행하도록 하는 통신 단계(S400);
    상기 정보 차단부에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보에 의한 아웃바운드 통신을 차단하는 통신 차단 단계(S500); 및
    내부 인증 수행부에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보에 내부 인증 질의를 수행하여, 수행 결과에 따라, 상기 아웃바운드 정보를 상기 통신 단계(S400) 또는, 상기 통신 차단 단계(S500)로 전달하는 내부 인증 수행 단계(S600);
    를 포함하여 이루어지며,
    상기 정보 판단 단계(S300)에 의한 상기 고유 정보와 상기 화이트 리스트 및 블랙 리스트와의 비교, 판단 결과에 따라,
    상기 아웃바운드 정보의 고유 정보가 상기 화이트 리스트와 상기 블랙 리스트 모두에 매칭되거나, 모두에 매칭되지 않을 경우,
    상기 내부 인증 수행 단계(S600)를 수행하는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 방법.
  7. 제 6항에 있어서,
    상기 APT 공격에 의한 백도어 통신 차단 방법은
    상기 정보 판단 단계(S300)에 의한 상기 고유 정보와 상기 화이트 리스트 및 블랙 리스트와의 비교, 판단 결과에 따라,
    상기 아웃바운드 정보의 고유 정보가 상기 화이트 리스트와 매칭될 경우,
    상기 통신 단계(S400)를 수행하고,
    상기 아웃바운드 정보의 고유 정보가 상기 블랙 리스트와 매칭될 경우,
    상기 통신 차단 단계(S500)를 수행하는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 방법.
  8. 제 6항에 있어서,
    상기 내부 인증 수행 단계(S600)는
    내부 인증 수행부에서 상기 정보 판단 단계(S300)에 의해 전달받은 상기 아웃바운드 정보에 대한 호스트에게 내부 인증 질의를 수행하는 내부 인증 질의 수행 단계(S610); 및
    상기 내부 인증 질의 수행 단계(S610)의 결과에 따라, 호스트로부터 입력받은 응답이 기저장되어 있는 정답과 매칭되는지 판단하는 인증 통과 판단 단계(S620);
    로 이루어지는 것을 특징으로 하며,
    상기 인증 통과 판단 단계(S620)의 결과에 따라,
    호스트로부터 입력받은 응답이 기저장되어 있는 정답과 매칭될 경우, 상기 통신 단계(S400)를 수행하고,
    호스트로부터 소정 시간 동안 응답이 입력되지 않거나,
    호스트로부터 입력받은 응답을 기저장되어 있는 정답과 매칭되지 않을 경우, 상기 통신 차단 단계(S500)를 수행하는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 방법.
  9. 제 6항에 있어서,
    상기 APT 공격에 의한 백도어 통신 차단 방법은
    상기 통신 차단 단계(S500)를 수행한 후,
    상기 아웃바운드 통신이 차단된 상기 아웃바운드 정보를 데이터베이스화하여 저장 및 관리하고,
    외부의 요청에 따라, 차단된 상기 아웃바운드 정보를 제공하는 정보 관리 단계(S510);
    를 더 포함하여 구성되는 것을 특징으로 하는 APT 공격에 의한 백도어 통신 차단 방법.
KR1020130090873A 2013-07-31 2013-07-31 Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법 KR101356013B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130090873A KR101356013B1 (ko) 2013-07-31 2013-07-31 Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130090873A KR101356013B1 (ko) 2013-07-31 2013-07-31 Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법

Publications (1)

Publication Number Publication Date
KR101356013B1 true KR101356013B1 (ko) 2014-02-11

Family

ID=50269465

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130090873A KR101356013B1 (ko) 2013-07-31 2013-07-31 Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법

Country Status (1)

Country Link
KR (1) KR101356013B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210089592A (ko) * 2020-01-08 2021-07-16 건국대학교 산학협력단 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4159814B2 (ja) * 2002-06-26 2008-10-01 株式会社エヌ・ティ・ティ・データ 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4159814B2 (ja) * 2002-06-26 2008-10-01 株式会社エヌ・ティ・ティ・データ 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210089592A (ko) * 2020-01-08 2021-07-16 건국대학교 산학협력단 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들
KR102512622B1 (ko) * 2020-01-08 2023-03-23 건국대학교 산학협력단 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들

Similar Documents

Publication Publication Date Title
US11882136B2 (en) Process-specific network access control based on traffic monitoring
US11102233B2 (en) Detection of vulnerable devices in wireless networks
US10505953B2 (en) Proactive prediction and mitigation of cyber-threats
US9848006B2 (en) Detecting past intrusions and attacks based on historical network traffic information
JP6086968B2 (ja) 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法
KR101679578B1 (ko) IoT 보안을 위한 제어 서비스 제공 장치 및 방법
US10542006B2 (en) Network security based on redirection of questionable network access
US8839442B2 (en) System and method for enabling remote registry service security audits
CA2968327C (en) Systems and methods for malicious code detection accuracy assurance
US9594912B1 (en) Return-oriented programming detection
KR101130385B1 (ko) 네트워크로 연결된 컴퓨터 시스템을 공격으로부터 보호하기 위한 시스템 및 방법
US8561177B1 (en) Systems and methods for detecting communication channels of bots
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
US9641545B2 (en) Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network
US20170237749A1 (en) System and Method for Blocking Persistent Malware
US11924643B2 (en) Point-controlled rogue AP avoidance + rogue AP detection using synchronized security
KR20140022975A (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US7810158B2 (en) Methods and systems for deceptively trapping electronic worms
US20210329459A1 (en) System and method for rogue device detection
KR101499470B1 (ko) 악성코드 전이 탐지를 이용한 apt 공격 방어 시스템 및 그 방어 방법
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
WO2019058094A1 (en) REGISTRATION OF ACCESS POINT IN A NETWORK
KR101356013B1 (ko) Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법
KR101186873B1 (ko) 시그니쳐 기반 무선 침입차단시스템
US20170085577A1 (en) Computer method for maintaining a hack trap

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170121

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171124

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181115

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191111

Year of fee payment: 7