KR101428721B1 - Method and system for detecting malicious traffic by analyzing traffic - Google Patents
Method and system for detecting malicious traffic by analyzing traffic Download PDFInfo
- Publication number
- KR101428721B1 KR101428721B1 KR1020130072104A KR20130072104A KR101428721B1 KR 101428721 B1 KR101428721 B1 KR 101428721B1 KR 1020130072104 A KR1020130072104 A KR 1020130072104A KR 20130072104 A KR20130072104 A KR 20130072104A KR 101428721 B1 KR101428721 B1 KR 101428721B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- information
- collected
- session
- url
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
Description
본 발명은 트래픽 분석을 통해 악성 트래픽(URL)로 의심되는 URL만을 점검대상으로 선별하여 악성 URL을 탐지하는 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템에 관한 것이다.The present invention relates to a malicious traffic detection method and system for detecting a malicious URL by selecting only a suspicious URL as a malicious traffic (URL) through a traffic analysis.
일반적으로, 악성코드 감염의 대부분은 웹서핑 및 SNS(social networking service) 등을 이용할 때 사용자가 인지하지 못한 상태로 감염된다. 예를 들어, 악성코드가 은닉된 웹사이트를 방문하므로, 악성코드에 감염된다.In general, most malicious code infections are infected by the user when the user is using web surfing and social networking service (SNS). For example, malicious code visits a compromised Web site, which infects malicious code.
종래에 악성 URL(uniform resource locator) 점검기술은 점검대상 URL이 입력되면, 해당 URL에 대한 악성코드 감염여부 및 감염경로, 악성코드 등을 자동으로 탐지하여 그 탐지결과를 출력한다.Conventionally, when malicious URL (uniform resource locator) checking technology is inputted, malicious code infection, infection path, malicious code and the like are automatically detected for the URL to be inspected, and the detection result is output.
조직망 내 사용자 단말기의 악성코드 감염을 막기 위해서는 조직 내부에서 접근하는 모든 URL에 대해 점검이 필요하나, 사용자 단말기가 1개의 URL 방문 시 수십 ~ 수백 개의 URL 방문이 이루어진다. 종래에는 악성코드를 유포하는 악성 URL 탐지하기 위해서 가상머신을 이용하여 사용자 단말기가 특정 웹페이지에 접속할 때마다 해당 페이지 및 그에 링크된 웹페이지 등에 직접 방문하여 악성여부를 검사하므로, 악성 URL 탐지에 많은 시간이 소요되어 빠른 대응이 어려운 문제점이 있다.In order to prevent the malicious code infection of the user terminal in the network, it is necessary to check all the URLs accessed within the organization, but when the user terminal visits one URL, several tens to several hundred URL visits are made. Conventionally, every time a user terminal accesses a specific web page by using a virtual machine to detect a malicious URL that distributes malicious code, the malicious URL is visited by directly visiting a corresponding page and a web page linked thereto, There is a problem that it takes time and it is difficult to respond quickly.
즉, 종래기술에 따르면 외부망과 내부망(조직망) 사이에 송수신되는 모든 URL에 대해 점검을 수행하므로, 악성 URL을 탐지하는데 많은 자원과 시간이 소요되므로 빠른 진단이 어려워 점검 속도를 저하시킨다.That is, according to the related art, since all the URLs transmitted / received between the external network and the internal network (the network) are checked, it takes a lot of resources and time to detect malicious URLs, which makes it difficult to quickly diagnose and deteriorate the inspection speed.
본 발명은 상기한 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하고, 그 수집된 트래픽을 분석하여 악성 URL(웹주소)로 의심되는 URL만을 점검대상으로 선별하여 점검하므로 신속하게 악성 URL을 탐지할 수 있는 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made in order to solve the above problems of the prior art, and it is an object of the present invention to collect all traffic transmitted and received between an external network and an internal network, analyze the collected traffic, The present invention aims to provide a method and system for detecting malicious traffic through traffic analysis capable of detecting malicious URLs quickly.
상기한 과제를 달성하기 위해, 본 발명에 따른 트래픽 분석을 통한 악성 트래픽 탐지 방법은 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하는 단계와, 상기 수집된 트래픽에 대한 분석을 통해 해당 트래픽에 대한 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하는 단계와, 상기 콘텐츠 정보의 존재여부를 확인하는 단계와, 상기 콘텐츠 정보가 존재하면 상기 콘텐츠 정보가 수집된 시간 정보를 획득하는 단계와, 상기 수집된 시간 정보를 기준으로 점검 기간 내 수집된 트래픽의 콘텐츠 정보 및 트래픽 정보로부터 웹주소(이하, ‘URL’라 함)을 추출하여 점검대상으로 설정하는 단계와, 상기 점검대상으로 설정된 URL들을 점검하여 악성 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a malicious traffic detection method using traffic analysis, comprising: collecting all traffic transmitted / received between an external network and an internal network; analyzing the collected traffic; The method comprising the steps of: extracting session information, content information, and traffic information for the content information; checking whether the content information exists; acquiring time information when the content information is collected; Extracting a web address (hereinafter, referred to as URL) from content information and traffic information of traffic collected in the check period based on time information and setting the URL as a check target; And judging whether or not it is possible.
또한, 본 발명에 따른 트래픽 분석을 통한 악성 트래픽 탐지 시스템은 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하는 트래픽 수집장치와, 상기 수집된 트래픽을 분석하여 악성으로 의심되는 웹주소(이하, URL)를 선별하여 점검하는 분석서버를 포함하며, 상기 분석서버는, 상기 트래픽 수집장치로부터 전송되는 상기 수집된 트래픽을 수신하는 통신부와, 상기 수집된 트래픽으로부터 세션 정보 및 콘텐츠 정보, 트래픽 정보를 수집하는 정보수집부와, 상기 콘텐츠 정보의 존재여부를 확인하고, 그 확인결과 상기 콘텐츠 정보가 존재하면 해당 정보가 수집된 시간 정보를 기준으로 점검 기간 내에 수집된 트래픽에 존재하는 웹주소(이하, ‘URL’라 함)을 점검대상으로 설정하는 점검대상 선별부와, 상기 점검대상으로 설정된 URL들을 점검하여 해당 URL의 악성여부를 판단하는 점검부를 포함하는 것을 특징으로 한다.The malicious traffic detection system according to the present invention includes a traffic collecting device for collecting all traffic transmitted and received between an external network and an internal network, And an analysis server for selecting and analyzing URLs of the collected traffic, wherein the analysis server comprises: a communication unit for receiving the collected traffic transmitted from the traffic collecting apparatus; and a traffic information collecting unit for collecting session information, (Hereinafter, referred to as " Web address ") existing in the traffic collected within the inspection period based on the time information on which the information is collected when the content information exists, Quot; URL ") as an object to be checked, and a URL selection unit It characterized in that it comprises a check to determine whether a malicious party URL.
본 발명은 외부망과 내부망 사이에 송수신되는 모든 트래픽을 수집하여 분석하고, 이러한 트래픽 분석을 통해 수집된 트래픽들 중 악성 URL(웹주소)로 의심되는 URL만을 점검대상으로 선별하므로 점검대상을 효과적으로 줄일 수 있다.The present invention collects and analyzes all traffic transmitted and received between an external network and an internal network, selects only URLs suspected to be malicious URLs (web addresses) among the traffic collected through the traffic analysis, Can be reduced.
따라서, 본 발명은 신속하게 악성 URL을 탐지할 수 있으며, 조직망 내 단말기 및 서버 등에서 악성코드를 다운로드하는지를 실시간으로 확인할 수 있다.Accordingly, the present invention can quickly detect a malicious URL, and can confirm in real time whether malicious code is downloaded from a terminal, a server, or the like in a network.
또한, 본 발명은 내부 인입 트래픽이 아닌 외부로 나가는 트래픽을 대상으로 점검하여 웹 서버에 접속한 사람이 악성코드를 받아가는지 점검할 수 있어, 웹 서버의 악용을 탐지할 수 있다.Also, according to the present invention, it is possible to check whether a person who accesses a web server receives a malicious code by checking the outgoing traffic, not the internal incoming traffic, and detect abuse of the web server.
도 1은 본 발명의 일 실시예와 관련된 트래픽 분석을 통한 악성 URL 탐지 시스템을 도시한 구성도.
도 2는 도 1에 도시된 분석서버의 구성을 도시한 블록도.
도 3은 본 발명의 일 실시 예에 따른 세션 모드에서 트래픽 정보 수집 과정을 도시한 흐름도.
도 4는 본 발명의 다른 실시 예에 따른 비세션 모드에서 트래픽 정보 수집 과정을 도시한 흐름도.
도 5는 본 발명과 관련된 트래픽 분석을 통한 악성 URL 탐지 방법을 도시한 흐름도.1 is a block diagram illustrating a malicious URL detection system through traffic analysis in accordance with an embodiment of the present invention;
FIG. 2 is a block diagram showing the configuration of the analysis server shown in FIG. 1. FIG.
3 is a flowchart illustrating a process of collecting traffic information in a session mode according to an embodiment of the present invention.
FIG. 4 is a flowchart illustrating a process of collecting traffic information in a non-session mode according to another embodiment of the present invention. FIG.
5 is a flowchart illustrating a malicious URL detection method through traffic analysis related to the present invention.
이하, 본 발명의 실시 예를 첨부된 도면들을 참조하여 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
본 발명은 외부망과 내부망(조직망) 사이에 송수신되는 트래픽을 모니터링하여 악성행위를 행할 가능성이 있는 트래픽으로 의심이 되는 트래픽을 선별하여 해당 트래픽에 대해서만 악성 여부를 점검한다.
The present invention monitors traffic transmitted / received between an external network and an internal network (network) to select suspicious traffic as traffic that is likely to cause malicious action, and checks only the corresponding traffic for maliciousness.
도 1은 본 발명의 일 실시예와 관련된 트래픽 분석을 통한 악성 URL 탐지 시스템을 도시한 구성도이고, 도 2는 도 1에 도시된 분석서버의 구성을 도시한 블록도이다.FIG. 1 is a block diagram showing a malicious URL detection system through traffic analysis according to an embodiment of the present invention, and FIG. 2 is a block diagram showing the configuration of the analysis server shown in FIG.
도 1에 도시된 바와 같이, 본 발명과 관련된 트래픽 분석을 통한 점검대상 선별 시스템은 트래픽 수집장치(100), 분석서버(200), 데이터베이스(database, DB)(300)를 포함한다.As shown in FIG. 1, the inspection object sorting system through traffic analysis related to the present invention includes a traffic collecting
트래픽 수집장치(100)는 외부망(10)과 내부망(20) 사이에 설치되어 외부망(10)과 내부망(20) 사이에 송수신되는 모든 트래픽을 수집(tapping)한다. 즉, 트래픽 수집장치(100)는 외부망(10)에서 내부망(20)으로 유입되는 트래픽 및 내부망(20)에서 외부망(10)으로 유출되는 트래픽을 수집한다.The traffic collecting
또한, 트래픽 수집장치(100)는 탭장비(TAP)로 구현되며, 유무선통신을 통해 수집한 트래픽을 후술하는 분석서버(200)로 전달한다.Also, the traffic collecting
분석서버(200)는 트래픽 수집장치(100)에 의해 수집된 트래픽을 분석하여 점검대상을 선별한다. 분석서버(200)는 도 2에 도시된 바와 같이 통신부(210), 정보수집부(220), 점검대상 선별부(230), 점검부(240)를 포함한다.The
통신부(210)는 트래픽 수집장치(100)와의 통신을 수행하며, 상기 트래픽 수집장치(100)로부터 전달되는 수집 트래픽을 수신한다. 통신부(210)는 와이브로(WiBro), 와이파이(Wi-Fi), 랜(Local Area Network, LAN) 등으로 구현될 수 있다.The
정보수집부(220)는 수집 트래픽을 분석하여 해당 트래픽에 대한 정보를 수집한다. 이때, 정보수집부(220)는 수집 트래픽이 전송 제어 프로토콜(transmission control protocol, 이하, ‘TCP’라 함) 트래픽 또는 하이퍼텍스트 전송 프로토콜(hyper text transfer protocol, 이하, ‘HTTP’라 함) 트래픽인 경우에 트래픽 분석을 통해 해당 트래픽에 대한 정보(data)를 수집한다.The
정보수집부(220)는 세션 모드(session mode) 또는 비세션 모드(non-session mode)로 동작한다.The
먼저, 세션 모드에서 정보수집부(220)의 동작을 설명한다.First, the operation of the
정보수집부(220)는 수집된 트래픽(수집 트래픽)이 TCP 세션을 설정(형성)한 후 최초로 발생하는 HTTP 요청 트래픽이면 해당 트래픽으로부터 설정된 TCP 세션에 대한 세션 정보를 추출한다. 여기서, 세션 정보는 목적지 주소(Destination IP) 및 목적지 포트(Destination Port), 트래픽 수집 시간(time)을 포함한다. 상기 목적지 포트는 세션을 맺을 때 사용한 포트 정보이다.The
정보수집부(220)는 수집된 트래픽이 HTTP 응답 트래픽이면 해당 트래픽에 포함된 콘텐츠(파일 타입)가 실행 가능 파일인지를 확인한다. 다시 말해서, 정보수집부(220)는 HTTP 응답 트래픽에 포함된 콘텐츠 타입(content type)이 실행 파일(예: EXE 파일 및 DLL 파일 등)인지를 확인한다.If the collected traffic is HTTP response traffic, the
정보수집부(220)는 콘텐츠 타입이 실행 파일이면 해당 트래픽으로부터 콘텐츠 정보를 추출한다. 상기 콘텐츠 정보는 발신지 주소(source IP), 목적지 주소, URL(Uniform Resource Locator), 파일, 트래픽 수집 시간을 포함한다.The
정보수집부(220)는 HTTP 요청 트래픽이 GET 요청 방식이면, 해당 트래픽 내 이전 방문지 정보의 존재여부를 확인하여 이전 방문지 정보가 존재하면 해당 트래픽의 정보와 함께 이전 방문지 정보를 수집한다. 이때, 정보수집부(220)는 수집 트래픽에 포함된 이전 방문지 정보 및 발신지 주소, 목적지 주소, 발신지 포트, 트래픽 수집 시간 정보를 트래픽 정보로 수집한다.If the HTTP request traffic is a GET request type, the
한편, 정보수집부(220)는 수집 트래픽에 이전 방문지 정보가 존재하지 않으면 이전 방문지 정보를 제외한 해당 트래픽의 정보를 수집한다. 즉, 정보수집부(220)는 호스트(HOST), GET URL, 발신지 주소, 목적지 주소, 발신지 포트, 트래픽 수집 시간을 트래픽 정보로 수집한다.Meanwhile, the
정보수집부(220)는 세션이 종료되면 세션 DB(310)에 저장된 목적지 포트를 통해 송수신된 콘텐츠의 정보가 콘텐츠 DB(320)에 존재하면, 그 목적지 포트 정보(포트 번호)와 함께 콘텐츠 DB(320) 및 트래픽 DB(330)에 저장된 콘텐츠 정보 및 트래픽 정보를 결과 DB(340)에 저장한다. 다시 말해서, 정보수집부(220)는 세션이 형성되면 그 형성된 세션을 통해 전송되는 트래픽을 분석하여 세션 정보 및 콘텐츠 정보, 트래픽 정보를 수집하고 세션이 종료되면 콘텐츠 DB(320)에 콘텐츠 정보의 존재여부를 확인하여 콘텐츠 정보가 존재하면 수집된 정보를 신규 결과 데이터로 결과 DB(340)에 저장한다.The
그리고, 정보수집부(220)는 세션 DB(310)의 목적지 포트를 통해 송수신된 콘텐츠 정보가 콘텐츠 DB(320)에 존재하지 않으면 세션 DB(310), 콘텐츠 DB(320), 트래픽 DB(330)에 저장된 데이터를 삭제한다.When the contents information transmitted through the destination port of the
다음으로, 비세션 모드인 경우, 정보수집부(220)는 수집된 트래픽이 HTTP 요청 트래픽이면, 해당 트래픽으로부터 트래픽 정보를 추출하여 트래픽 DB(330)에 저장한다. 여기서, 트래픽 정보는 발신지 주소, 목적지 주소, 이전 방문지 주소, GET URL, 호스트(host), 트래픽 수집 시간 등을 포함한다.Next, in the non-session mode, if the collected traffic is an HTTP request traffic, the
또한, 정보수집부(220)는 수집된 트래픽이 HTTP 응답 트래픽이면, 그 트래픽의 콘텐츠 타입(파일 타입)이 실행 파일인지를 확인하여 그 콘텐츠 타입이 실행 파일이면 발신지 주소, 목적지 주소, URL, 파일(콘텐츠), 트래픽 수집 시간을 트래픽 정보로 트래픽 DB(330)에 저장한다.If the collected traffic is an HTTP response traffic, the
점검대상 선별부(230)는 결과 DB(340)에 신규 결과 데이터가 저장되면, 그 신규 결과 데이터가 실행 가능한 콘텐츠인지를 확인한다. 즉, 점검대상 선별부(230)는 신규 결과 데이터의 콘텐츠 타입이 실행 파일인지를 확인한다. 그리고, 점검대상 선별부(230)는 신규 결과 데이터가 실행 가능한 콘텐츠이면 신규 결과 데이터의 세션과 동일한 세션에서 점검 기간 내에 존재하는 URL 목록들을 점검대상으로 설정한다.When the new result data is stored in the
다시 말해서, 점검대상 선별부(230)는 신규 결과 데이터의 콘텐츠 타입이 실행 파일이면 결과 DB(340)에서 해당 신규 결과 데이터가 수집된 시간 정보를 획득한다. 그리고, 점검대상 선별부(230)는 그 획득된 수집 시간 정보를 기준으로 사용자에 의해 기설정된 점검 기간에 수집된 URL을 점검대상 목록에 추가한다. 예를 들어, 점검대상 선별부(230)는 신규 결과 데이터가 수집된 시간을 기준으로 10분 전부터 10분 후까지 사이에 신규 결과 데이터를 수집한 동일한 세션에서 수집된 트래픽에 존재하는 URL을 추출하여 점검대상으로 설정한다.In other words, if the content type of the new result data is an execution file, the check
점검부(240)는 점검대상 선별부(230)에 의해 점검대상으로 설정된 URL에 대해 악성 URL인지를 점검한다. 다시 말해서, 점검부(240)는 점검대상 목록에 포함된 URL에 대해 악성코드 감염 여부 또는 악성코드 유포지로 의심되는지 등을 검사하여 악성 URL 여부를 점검한다.The
데이터베이스(이하, ‘DB’라 함)(300)는 세션 정보가 저장되는 세션 DB(310), 콘텐츠 정보가 저장되는 콘텐츠 DB(320), 트래픽 정보가 저장되는 트래픽 DB(330), 결과 DB(340)를 포함한다.The DB 300 stores a
DB(300)는 점검부(240)에 의해 악성 URL로 판단된 URL이 저장되는 블랙리스트 DB(미도시)를 더 포함할 수 있다. 블랙리스트 DB(미도시)에 저장된 악성 URL 목록을 기반으로 조직망 내 단말기가 악성 URL 접속을 시도하는 경우 해당 URL 접속을 차단하도록 구현할 수도 있다.
The
도 3은 본 발명의 일 실시 예에 따른 세션 모드에서 트래픽 정보 수집 과정을 도시한 흐름도이다.3 is a flowchart illustrating a process of collecting traffic information in a session mode according to an embodiment of the present invention.
도 3에 도시된 바에 따르면, 분석서버(200)는 트래픽 수집장치(100)을 통해 외부망(10)과 내부망(20) 사이에 송수신되는 모든 트래픽을 수집한다(S101). 이때, 분석서버(200)의 통신부(210)는 트래픽 수집장치(100)로부터 전송되는 수집 트래픽을 수신하고, 정보수집부(220)는 그 수신된 수집 트래픽이 사용하는 프로토콜이 TCP 또는 HTTP 인지를 확인한다.3, the
상기 수집 트래픽인 TCP 트래픽 또는 HTTP 트래픽으로 확인되면 정보수집부(220)는 세션 종료 여부를 확인한다(S102).If it is confirmed that the collected traffic is TCP traffic or HTTP traffic, the
정보수집부(220)는 세션 종료가 아니면 세션 형성 여부를 확인한다(S103).If the session is not terminated, the
세션이 생성된 경우, 정보수집부(220)는 세션에 대한 세션 정보를 세션 DB(310)에 저장한다(S104). 여기서, 세션 정보는 목적지 포트(DST Port), 목적지 주소(DST IP), 시간정보를 포함한다.When the session is created, the
상기 단계(S103)에서 세션이 생성되지 않은 경우 정보수집부(220)는 수집 트래픽이 HTTP 요청인지를 확인한다(S114).If a session is not created in step S103, the
상기 수집 트래픽이 HTTP 요청이 아니면, 정보수집부(220)는 콘텐츠(데이터 형태)가 가능한 파일인지를 확인한다(S115). 다시 말해서, 정보수집부(220)는 수집 트래픽이 HTTP 응답이면 그 HTTP 응답의 콘텐츠 타입이 실행 가능 파일이면 해당 콘텐츠 정보를 콘텐츠 DB(320)에 저장한다. 상기 콘텐츠 정보는 발신지 주소(Source IP), 목적지 주소(Destination IP), URL, 시간, 콘텐츠, 목적지 포트(Destination Port)를 포함한다.If the collected traffic is not an HTTP request, the
상기 단계(S114)에서, 정보수집부(220)는 수집 트래픽이 HTTP 요청이면, HTTP 요청 방식이 GET 요청인지를 확인한다(S124).In step S114, if the collected traffic is an HTTP request, the
상기 HTTP 요청 방식이 GET 요청이면, 정보수집부(220)는 이전 방문지 정보가 존재하는지를 확인한다(S125).If the HTTP request method is a GET request, the
상기 이전 방문지 정보가 존재하면 정보수집부(220)는 이전 방문지 정보가 포함된 트래픽 정보를 트래픽 DB(330)에 저장한다(S126). 이때, 정보수집부(220)는 이전 방문지 URL, 발신지 주소, 목적지 주소, 발신지 포트(세션 정보), 시간정보를 트래픽 DB(330)에 저장한다.If the previous visit information exists, the
한편, 상기 단계(S125)에서 상기 이전 방문지 정보가 존재하지 않으면, 정보수집부(220)는 트래픽 정보를 트래픽 DB(330)에 저장한다(S127). 여기서, 트래픽 정보는 호스트(HOST), GET URL, 발신지 주소, 목적지 주소, 발신지 포트, 시간을 포함한다.If the previous visited place information does not exist in the step S125, the
한편, 상기 단계(S102)에서 세션이 종료되지 않으면, 정보수집부(220)는 세션 DB(310)에 저장된 목적지 포트로 수신되는 콘텐츠가 존재하는지를 콘텐츠 DB(320)에서 확인한다(S133).If the session is not terminated in step S102, the
상기 세션 DB(310)에 저장된 목적지 포트로 수신되는 콘텐츠가 존재하면 정보수집부(220)는 세션 DB(310)의 목적지 포트 번호와 함께 콘텐츠 DB(320) 및 트래픽 DB(330)에 각각 저장된 콘텐츠 정보와 트래픽 정보를 결과 DB(340)에 저장한다(S134).The
상기 세션 DB(310)에 저장된 목적지 포트로 수신되는 콘텐츠가 존재하지 않으면, 정보수집부(220)는 세션 DB(310)의 목적지 포트 번호와 함께 세션 DB(310), 콘텐츠 DB(320), 트래픽 DB(330)에 저장된 정보를 삭제한다(S135).
If there is no content received at the destination port stored in the
도 4는 본 발명의 다른 실시 예에 따른 비세션(non-session) 모드에서 트래픽 정보 수집 과정을 도시한 흐름도이다.4 is a flowchart illustrating a process of collecting traffic information in a non-session mode according to another embodiment of the present invention.
도 4에 도시된 바와 같이, 분석서버(200)의 정보수집부(220)는 통신부(210)를 통해 트래픽 수집장치(100)로부터 전송되는 수집 트래픽을 수신한다. 이때, 정보수집부(220)는 수신된 수집 트래픽이 TCP 트래픽 또는 HTTP 트래픽인지를 확인한다(S201).4, the
상기 수집 트래픽이 TCP 트래픽 또는 HTTP 트래픽이면 정보수집부(220)는 상기 수집 트래픽이 HTTP 요청인지를 확인한다(S202).If the collected traffic is a TCP traffic or an HTTP traffic, the
상기 수집 트래픽이 HTTP 요청이 아니면 정보수집부(220)는 수집 트래픽의 콘텐츠 타입이 실행 가능 파일인지를 확인한다(S203).If the collected traffic is not an HTTP request, the
정보수집부(220)는 콘텐츠 타입이 실행 가능 파일(실행 파일)이면 해당 콘텐츠에 대한 정보를 콘텐츠 DB(320)에 저장한다(S204). 이때, 정보수집부(220)는 발신지 주소, 목적지 주소, URL, 시간, 콘텐츠, 목적지 포트를 콘텐츠 정보로 콘텐츠 DB(320)에 저장한다.If the content type is an executable file (executable file), the
다시 말해서, 정보수집부(220)는 HTTP 응답 트래픽 중 콘텐츠 타입이 실행 파일이면 발신지 주소, 목적지 수고, 시간, URL, 파일 정보를 수집한다.In other words, the
상기 콘텐츠 정보를 콘텐츠 DB(320)에 삽입할 때, 정보수집부(220)는 콘텐츠 DB(320) 및 트래픽 DB(330)의 데이터를 결과 DB(340)에 저장한다(S205).When inserting the content information into the
또한, 정보수집부(220)는 콘텐츠 DB(320) 및 트래픽 DB(330)에 수집된 정보(데이터)가 일정 시간 경과하면 콘텐츠 DB(320) 및 트래픽 DB(330)를 초기화한다(S206).The
한편, 상기 단계(S202)에서 수집 트래픽이 HTTP 요청 트래픽이면 정보수집부(220)는 HTTP 요청 방식이 GET 요청인지를 확인한다(S213).If the collected traffic is HTTP request traffic in step S202, the
상기 HTTP 요청 방식이 GET 요청이면 정보수집부(220)는 수집 트래픽에 이전 방문지 정보가 존재하는지를 확인한다(S214).If the HTTP request method is a GET request, the
상기 이전 방문지 정보가 존재하면 정보수집부(220)는 이전 방문지 정보를 포함한 수집 트래픽 정보를 트래픽 DB(330)에 저장한다(S215). 이때, 수집 트래픽에 대한 정보는 이전 방문지 주소(referer URL), 발신지 주소, 목적지 주소, 발신지 포트, 시간을 포함한다.If the previous visit information exists, the
한편, 상기 단계(S214)에서 수집 트래픽에 이전 방문지 정보가 존재하지 않으면, 정보수집부(220)는 해당 수집 트래픽에 대한 정보를 트래픽 DB(330)에 저장한다(S215). 이때, 트래픽 정보는 호스트, GET URL(콘텐츠를 다운로드한 주소), 발신지 주소, 목적지 주소, 발신지 포트, 시간을 포함한다.
Meanwhile, if there is no previous visited information in the collected traffic in step S214, the
도 5는 본 발명과 관련된 트래픽 분석을 통한 악성 URL 탐지 방법을 도시한 흐름도이다.5 is a flowchart illustrating a malicious URL detection method through traffic analysis related to the present invention.
도 5에 따르면, 점검대상 선별부(230)는 결과 DB(340)에 신규 결과 데이터가 존재하는지를 확인한다(S301).Referring to FIG. 5, the check
점검대상 선별부(230)는 신규 결과 데이터의 콘텐츠 타입이 실행 파일인지를 확인한다(S302). 즉, 점검대상 선별부(230)는 신규 결과 데이터가 EXE 파일 또는 DLL 파일인지를 확인한다.The check
상기 신규 결과 데이터의 콘텐츠 타입이 실행 파일이면, 점검대상 선별부(230)는 결과 DB(340)에서 해당 신규 결과 데이터가 수집된 시간정보를 획득한다(S303).If the content type of the new result data is an execution file, the check
점검대상 선별부(230)는 획득 시간정보를 기준으로 점검 기간 내에 수집된 트래픽에 존재하는 URL을 점검대상 목록으로 설정한다(S304). 점검대상 선별부(230)는 상기 신규 결과 데이터와 동일한 세션 또는 발신지 주소에서 점검 기간 내 송신되는 트래픽에 포함된 URL을 결과 DB(340)로부터 검색하여 점검대상으로 설정한다.The check
점검대상 선별부(230)는 설정된 점검대상 목록을 점검부(240)로 전달하고, 점검부(240)는 점검대상 목록에 포함된 URL에 대하여 악성코드 유포여부를 점검한다(S305).The inspection
100: 트래픽 수집장치
200: 분석서버
210: 통신부
220: 정보수집부
230: 점검대상 선별부
240: 점검부
300: 데이터베이스100: Traffic collecting device
200: Analysis server
210:
220: Information collecting section
230: check target sorting unit
240:
300: Database
Claims (7)
상기 수집된 트래픽에 대한 분석을 통해 해당 트래픽에 대한 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하는 단계와,
상기 콘텐츠 정보의 존재여부를 확인하는 단계와,
상기 콘텐츠 정보가 존재하면 상기 콘텐츠 정보가 수집된 시간 정보를 획득하는 단계와,
상기 수집된 시간 정보를 기준으로 점검 기간 내 수집된 트래픽의 콘텐츠 정보 및 트래픽 정보로부터 웹주소(이하, ‘URL’라 함)을 추출하여 점검대상으로 설정하는 단계와,
상기 점검대상으로 설정된 URL들을 점검하여 악성 여부를 판단하는 단계를 포함하여 이루어지며,
상기 정보추출 단계는,
상기 수집된 트래픽이 전송 제어 프로토콜(이하, TCP) 트래픽 또는 하이퍼텍스트 전송 프로토콜(이하, HTTP) 트래픽 인지를 확인하는 단계와,
상기 수집된 트래픽이 TCP 트래픽 또는 HTTP 트래픽 이면, 세션 상태를 확인하여 세션 종료가 아니면 트래픽 분석을 통해 해당 트래픽으로부터 상기 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하는 단계와,
상기 세션 상태가 세션 종료이면 종료된 세션을 통해 전송된 콘텐츠 정보가 존재하는지를 확인하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.Collecting all traffic transmitted and received between the external network and the internal network,
Extracting session information, content information, and traffic information for the traffic through analysis of the collected traffic;
Confirming whether or not the content information exists;
Acquiring time information in which the content information is collected if the content information exists;
Extracting a web address (hereinafter referred to as URL) from content information and traffic information of traffic collected in the inspection period based on the collected time information, and setting the URL as a check target;
Checking URLs set as objects to be checked and determining whether the URLs are malicious,
In the information extracting step,
Confirming whether the collected traffic is a transmission control protocol (hereinafter referred to as TCP) traffic or a hypertext transmission protocol (hereinafter referred to as HTTP) traffic;
If the collected traffic is a TCP traffic or an HTTP traffic, checking the session state and extracting the session information, the content information, and the traffic information from the corresponding traffic through a traffic analysis if the session is not terminated;
And checking whether content information transmitted through the terminated session exists if the session state is the end of the session.
상기 해당 세션을 통해 전송된 콘텐츠 정보가 존재하면 상기 세션 정보의 목적지 포트 정보와 함께 기수집된 콘텐츠 정보 및 트래픽 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.The information processing method according to claim 1,
And storing the collected content information and traffic information together with the destination port information of the session information if the content information transmitted through the corresponding session is present.
세션 형성 후 최초로 발생되는 HTTP 요청 트래픽으로부터 추출되는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.The method of claim 1,
And extracting from the HTTP request traffic generated for the first time after the session is formed.
상기 수집된 트래픽 중 HTTP 응답 트래픽이며 그 트래픽의 콘텐츠 타입이 실행 파일인 트래픽으로부터 추출되는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.The information processing apparatus according to claim 1,
Wherein the HTTP response traffic of the collected traffic and the content type of the traffic are extracted from traffic that is an executable file.
상기 수집된 트래픽의 HTTP 요청 방식이 겟(GET) 요청인 트래픽으로부터 추출하는 HTTP 요청 정보인 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 방법.2. The method of claim 1,
And the HTTP request method of the collected traffic is HTTP request information extracted from traffic that is a get (GET) request.
상기 수집된 트래픽을 분석하여 악성으로 의심되는 웹주소(이하, URL)를 선별하여 점검하는 분석서버를 포함하며,
상기 분석서버는,
상기 트래픽 수집장치로부터 전송되는 상기 수집된 트래픽을 수신하는 통신부와,
상기 수집된 트래픽으로부터 세션 정보 및 콘텐츠 정보, 트래픽 정보를 수집하는 정보수집부와,
상기 콘텐츠 정보의 존재여부를 확인하고, 그 확인결과 상기 콘텐츠 정보가 존재하면 해당 정보가 수집된 시간 정보를 기준으로 점검 기간 내에 수집된 트래픽에 존재하는 웹주소(이하, ‘URL’라 함)을 점검대상으로 설정하는 점검대상 선별부와,
상기 점검대상으로 설정된 URL들을 점검하여 해당 URL의 악성여부를 판단하는 점검부를 포함하여 구성되며,
상기 정보 수집부는,
상기 수집된 트래픽이 전송 제어 프로토콜(이하, TCP) 트래픽 또는 하이퍼텍스트 전송 프로토콜(이하, HTTP) 트래픽 인지를 확인하고,
상기 수집된 트래픽이 TCP 트래픽 또는 HTTP 트래픽이면, 세션 상태를 확인하여 세션 종료가 아니면 트래픽 분석을 통해 해당 트래픽으로부터 상기 세션 정보 및 콘텐츠 정보, 트래픽 정보를 추출하며,
상기 세션 상태가 세션 종료이면 종료된 세션을 통해 전송된 콘텐츠 정보가 존재하는지를 확인하는 것을 특징으로 하는 트래픽 분석을 통한 악성 트래픽 탐지 시스템.A traffic collecting device for collecting all traffic transmitted and received between the external network and the internal network,
And an analysis server for analyzing the collected traffic and selecting and checking a web address (hereinafter, URL) suspected of maliciousness,
The analysis server,
A communication unit for receiving the collected traffic transmitted from the traffic collection device;
An information collecting unit for collecting session information, content information and traffic information from the collected traffic;
(Hereinafter referred to as " URL ") existing in the traffic collected in the inspection period on the basis of the collected time information when the content information exists, A check target sorting unit to be set as a check target,
And an inspection unit for checking the URL set as the inspection object and judging whether the URL is malicious or not,
The information collecting unit,
Checks whether the collected traffic is a transmission control protocol (hereinafter referred to as TCP) traffic or a hypertext transmission protocol (hereinafter referred to as HTTP) traffic,
If the collected traffic is a TCP traffic or an HTTP traffic, the session state is checked. If the collected traffic is not a session end, the session information, the content information, and the traffic information are extracted from the corresponding traffic through traffic analysis,
If the session state is a session end, checking whether content information transmitted through a session that has been terminated exists.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130072104A KR101428721B1 (en) | 2013-06-24 | 2013-06-24 | Method and system for detecting malicious traffic by analyzing traffic |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130072104A KR101428721B1 (en) | 2013-06-24 | 2013-06-24 | Method and system for detecting malicious traffic by analyzing traffic |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101428721B1 true KR101428721B1 (en) | 2014-08-12 |
Family
ID=51750059
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130072104A KR101428721B1 (en) | 2013-06-24 | 2013-06-24 | Method and system for detecting malicious traffic by analyzing traffic |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101428721B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180101868A (en) | 2017-03-06 | 2018-09-14 | 한국전자통신연구원 | Apparatus and method for detecting of suspected malignant information |
CN117579507A (en) * | 2024-01-17 | 2024-02-20 | 云筑信息科技(成都)有限公司 | Method for automatically extracting recording flow |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100612452B1 (en) * | 2004-11-08 | 2006-08-16 | 삼성전자주식회사 | Apparatus and Method for Detecting Malicious Code |
-
2013
- 2013-06-24 KR KR1020130072104A patent/KR101428721B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100612452B1 (en) * | 2004-11-08 | 2006-08-16 | 삼성전자주식회사 | Apparatus and Method for Detecting Malicious Code |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180101868A (en) | 2017-03-06 | 2018-09-14 | 한국전자통신연구원 | Apparatus and method for detecting of suspected malignant information |
CN117579507A (en) * | 2024-01-17 | 2024-02-20 | 云筑信息科技(成都)有限公司 | Method for automatically extracting recording flow |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (en) | Network attack detection method and device | |
EP2408166B1 (en) | Filtering method, system and network device therefor | |
US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
KR101391781B1 (en) | Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction | |
CN109039987A (en) | A kind of user account login method, device, electronic equipment and storage medium | |
EP2634989A1 (en) | Mobile terminal to detect network attack and method thereof | |
KR101623068B1 (en) | System for collecting and analyzing traffic on network | |
CN103685294A (en) | Method and device for identifying attack sources of denial of service attack | |
CN113518077A (en) | Malicious web crawler detection method, device, equipment and storage medium | |
JP2018026747A (en) | Aggression detection device, aggression detection system and aggression detection method | |
CN109660552A (en) | A kind of Web defence method combining address jump and WAF technology | |
KR101535529B1 (en) | Method for collecting the suspicious file and trace information to analysis the ATP attack | |
KR101487476B1 (en) | Method and apparatus to detect malicious domain | |
KR101428721B1 (en) | Method and system for detecting malicious traffic by analyzing traffic | |
KR101087291B1 (en) | A method for identifying whole terminals using internet and a system thereof | |
KR101518470B1 (en) | Method for detecting a number of the devices of a plurality of client terminals selected by a web server from the internet request traffics sharing the public IP address and System for detecting selectively the same | |
KR101398740B1 (en) | System, method and computer readable recording medium for detecting a malicious domain | |
WO2013014033A1 (en) | Method and device for detecting mobile phone virus | |
Takata et al. | Analysis of redirection caused by web-based malware | |
US20180020012A1 (en) | Malware analysis system, malware analysis method, and malware analysis program | |
KR100977827B1 (en) | Apparatus and method detecting connection mailcious web server system | |
KR20150026187A (en) | System and Method for dropper distinction | |
KR101518469B1 (en) | Method for detecting a number of the selected devices of a plurality of client terminals from the internet request traffics sharing the public IP address and System for detecting selectively the same | |
US9049170B2 (en) | Building filter through utilization of automated generation of regular expression |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170807 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180807 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20190723 Year of fee payment: 6 |