KR101464367B1 - Apparatus and method for detecting local network attacks - Google Patents
Apparatus and method for detecting local network attacks Download PDFInfo
- Publication number
- KR101464367B1 KR101464367B1 KR1020130084983A KR20130084983A KR101464367B1 KR 101464367 B1 KR101464367 B1 KR 101464367B1 KR 1020130084983 A KR1020130084983 A KR 1020130084983A KR 20130084983 A KR20130084983 A KR 20130084983A KR 101464367 B1 KR101464367 B1 KR 101464367B1
- Authority
- KR
- South Korea
- Prior art keywords
- session
- detection target
- analysis unit
- detection
- control channel
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Abstract
외부망 통신장치에 의한 내부망 공격을 탐지하는 탐지장치로써, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부, 분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부를 포함한다.A session log collecting unit for collecting session information generated between internal network communication devices and external network communication devices as a detection device for detecting an internal network attack by an external network communication device, An analysis unit for extracting a detection target session generated in each analysis unit time based on the session information collected in a unit time and managing a detection target session generated for each analysis unit time, And a determination unit for accumulating the generation frequencies of the detection target sessions and detecting the command control channel among the detection target sessions based on the generation frequency of each detection target session.
Description
본 발명은 내부망공격 탐지장치 및 방법에 관한 것이다.The present invention relates to an internal network attack detection apparatus and method.
최근 분산서비스거부공격을 기점으로 하여 서비스거부공격, 개인정보 해킹사건, 금융 기관 해킹사건, 그리고 사이버테러 등의 다양한 타겟 공격이 증가하고 있다. 이러한 공격을 수행한 주체 및 공격 방법은 다양하나, 공격대상 네트워크 외부와 공격대상 네트워크 내부가 명령제어채널로 연결되어 공격을 수행하는 공통점이 있다. Recently, various target attacks such as denial of service attack, personal information hacking, financial institution hacking, and cyber terror have been increasing from the distributed denial of service attack. There are many subjects and attack methods that perform such attacks, but there is a common point that attacks outside the attack target network and inside the attack target network are connected to the command control channel.
명령제어채널을 통한 공격은 지능형지속공격(Advanced Persistent attacks) 형태를 보인다. 공격자는 수개월에 걸쳐 공격대상 네트워크에 머무르며 정보수집, 공격도구다운로드, 내부망공격, 시스템파괴, 정보유출 등의 행위를 수행한다. 공격대상 네트워크는 대부분 방화벽, 침입탐지장치 등으로 보호되므로, 공격자는 악성코드가 첨부된 메일발송, 인터넷서핑 중 사용자 모르게 악성파일 다운로드, 설치된 프로그램 공급자의 전산자원 공격 등 다양한 방법을 통해 초기침입 경로를 확보한다.Attack through command control channel is in the form of Advanced Persistent attacks. The attacker stays in the target network for several months and performs actions such as gathering information, downloading attack tools, attacking the internal network, destroying the system, and leaking information. Most attacked networks are protected by firewalls and intrusion detection devices, so an attacker can send an initial intrusion path through various methods such as sending mail with attached malicious code, downloading malicious files without knowing the user while surfing the Internet, .
특히, 최근에는 지속적으로 명령제어채널을 유지하는 것이 아니라, 공격자에 의해 감염된 내부망 장치가 외부에 위치한 공격자에게 접속을 주기적으로 시도하여 명령제어채널을 생성한다. 감염된 장치는 내부망 보안관리자의 탐지를 피하기 위해, 정규포트를 통한 비정규 프로토콜 통신, 비정규 포트 사용, 외부 클라우드 서비스 사용 등 다양한 방법을 통해 외부에 위치한 공격자와 주기적으로 접속한다. In particular, in recent years, an internal network device infected by an attacker periodically attempts to access an attacker located outside, instead of maintaining a command control channel continuously, thereby generating a command control channel. The infected device periodically connects to an external attacker through various methods such as unregistered protocol communication through regular port, unauthorized port use, and use of external cloud service to avoid detection of internal network security administrator.
지금까지의 내부망공격 탐지 장치는 명령제어채널의 기술적 특성을 기초로 명령제어채널을 탐지한다. 즉, 지금까지의 내부망공격 탐지 장치는 특정 시그니처나 악성 인터넷 주소와 같이 이미 알려진 정보를 사용하여 명령제어채널을 탐지한다. 그러나, 이러한 탐지 방법은 이미 알려진 악성행위를 탐지하므로, 이미 사용된 공격방법을 모사하는 낮은 수준의 공격자를 탐지할 수 있을 뿐, 새로운 기법의 명령제어채널을 사용하는 공격자를 탐지하기 어렵다. 따라서, 최근의 공격 방법에 대응할 수 있는 새로운 탐지방법이 요구된다.So far, the internal network attack detection apparatus detects the command control channel based on the technical characteristics of the command control channel. That is, the internal network attack detection apparatus detects the command control channel using known information such as a specific signature or a malicious Internet address. However, since this detection method detects already known malicious behavior, it is difficult to detect an attacker using the command control channel of the new technique only in detecting a low-level attacker that simulates an already used attack method. Therefore, a new detection method capable of coping with recent attack methods is required.
본 발명이 해결하고자 하는 과제는 내부망과 외부망 사이에 생성된 세션들을 단위 시간마다 모니터링하고, 각 세션의 생성 빈도를 기초로 명령제어채널을 탐지하는 내부망공격 탐지 장치 및 방법을 제공하는 것이다.An object of the present invention is to provide an internal network attack detection apparatus and method for monitoring sessions generated between an internal network and an external network at every unit time and detecting a command control channel based on the generation frequency of each session .
본 발명의 한 실시예에 따른 외부망 통신장치에 의한 내부망 공격을 탐지하는 탐지장치로서, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부, 분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부를 포함한다.A detection apparatus for detecting an internal network attack by an external network communication apparatus according to an embodiment of the present invention includes a session log collection unit for collecting session information generated between internal network communication apparatuses and external network communication apparatuses, An analysis unit for setting a unit time, extracting a detection target session generated at each analysis unit time based on the session information collected at each analysis unit time, managing a detection target session generated for each analysis unit time, And a determination unit for accumulating the generation frequencies of the detection target sessions during the detection time configured to detect the command control channel among the detection target sessions based on the generation frequency of each detection target session.
상기 판단부는 상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.The determination unit may set the reference frequency based on the number of analysis unit time included in the detection time, and may detect the detection target session having the generation frequency equal to or greater than the reference frequency as an instruction control channel.
상기 분석부는 세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리할 수 있다.The analyzer may identify the session based on the source information and the destination information included in the session information, and manage the identified session as a detection target session.
상기 분석부는 세션 정보를 기초로 식별한 세션을 필터링하여 상기 탐지 대상 세션을 결정할 수 있다.The analyzing unit may determine the detection target session by filtering the session identified based on the session information.
상기 판단부는 제1 분석 단위 시간에 제1 탐지 대상 세션이 생성된 경우, 상기 제1 탐지 대상 세션의 생성 빈도를 증가시킬 수 있다.The determination unit may increase the frequency of generation of the first detection target session when the first detection target session is generated in the first analysis unit time.
상기 판단부는 상기 제1 탐지 대상 세션의 생성 빈도를 기초로 상기 제1 탐지 대상 세션이 일정 개수 이상의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.Wherein the determination unit detects the first detection target session as a command control channel when the first detection target session is continuously generated in a predetermined number or more of consecutive analysis unit times based on the generation frequency of the first detection target session can do.
상기 판단부는 내부망 통신 장치의 활동 시간에 해당하는 분석 단위 시간들로 탐지 시간을 구성할 수 있다.The determination unit may configure the detection time as the analysis unit time corresponding to the activity time of the internal network communication device.
상기 판단부는 명령제어채널의 세션 정보를 기초로 내부망 공격 명령을 전송하는 외부망 통신장치를 탐지할 수 있다.The determination unit may detect an external network communication apparatus transmitting an internal network attack command based on the session information of the command control channel.
본 발명의 다른 실시예에 따른 내부망공격 탐지장치가 외부망 통신장치에 의한 내부망 공격을 탐지하는 방법으로서, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 단계, 출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정하는 단계, 그리고 각 탐지 대상 세션이 주기적으로 생성되는지 판단하여, 주기적으로 생성되는 탐지 대상 세션을 명령제어채널을 탐지하는 단계를 포함한다.A method for detecting an internal network attack by an external network communication apparatus, the method comprising: collecting session information generated between internal network communication apparatuses and external network communication apparatuses according to another embodiment of the present invention Determining a session to be detected by specifying a session to a source and a destination, determining whether each session to be detected is periodically generated, and detecting a command-control channel of a periodically generated session to be detected.
상기 명령제어채널을 탐지하는 단계는 각 분석 단위 시간 동안 각 탐지 대상 세션의 생성 여부를 기초로 각 탐지 대상 세션이 주기적으로 생성되는지 판단할 수 있다.The step of detecting the command control channel may determine whether each detection target session is periodically generated based on whether or not each detection target session is created during each analysis unit time.
상기 명령제어채널을 탐지하는 단계는 분석 단위 시간을 설정하는 단계, 각 분석 단위 시간에 수집한 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하는 단계, 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하는 단계, 그리고 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 추출하는 단계를 포함한다.The step of detecting the command control channel includes the steps of setting an analysis unit time, extracting a detection target session generated in each analysis unit time based on the session information collected in each analysis unit time, Accumulating the generation frequency of each detection target session during the detection time, and extracting the command control channel from the detection target sessions based on the generation frequency of each detection target session.
상기 명령제어채널을 추출하는 단계는 상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 추출할 수 있다.The step of extracting the command control channel may include setting a reference frequency based on the number of analysis unit time included in the detection time and extracting a detection target session having the generation frequency equal to or greater than the reference frequency as an instruction control channel.
상기 내부망공격 탐지방법은 각 탐지 대상 세션의 생성 빈도를 기초로 분석 단위 시간을 갱신하는 단계를 더 포함할 수 있다.The internal network attack detection method may further include updating the analysis unit time based on the generation frequency of each detection target session.
상기 탐지 대상 세션을 결정하는 단계는 세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리할 수 있다.The step of determining a session to be detected may identify a session based on the source information and the destination information included in the session information, and manage the identified session as a session to be detected.
상기 명령제어채널을 추출하는 단계는 제1 탐지 대상 세션이 일정 갯수의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.The step of extracting the command control channel may detect the first detection target session as a command control channel when the first detection target session is continuously generated in a predetermined number of consecutive analysis unit times.
본 발명의 실시예에 따르면 알려진 정보를 기반으로 공격자를 탐지하는 방식에서 벗어나, 내부망 공격을 위해 반드시 생성되어야 하는 명령제어채널을 세션 기반으로 탐지하므로, 다양한 방식의 내부망 공격을 탐지할 수 있다. 본 발명의 실시예에 따르면 점점 정교하게 진화하고 있는 내부망 공격 형태에 대해서도 효과적으로 대응할 수 있다. 본 발명의 실시예에 따르면 변형된 공격이나 암호화된 트래픽에 대해서도 탐지할 수 있으므로, 통신 프로토콜에 종속되지 않고 내부망공격을 탐지할 수 있다.According to the embodiment of the present invention, it is possible to detect various types of internal network attacks because it detects a command control channel that must be generated for an internal network attack, on the basis of a session, from a method of detecting an attacker based on known information . According to the embodiment of the present invention, it is possible to effectively cope with an internal network attack pattern that is gradually and gradually evolving. According to the embodiment of the present invention, since it is possible to detect a modified attack or encrypted traffic, it is possible to detect an internal network attack without depending on a communication protocol.
도 1은 본 발명의 한 실시예에 따른 내부망공격에 관계된 네트워크를 개략적으로 설명하는 도면이다.
도 2는 본 발명의 한 실시예에 따른 탐지장치의 블록도이다.
도 3은 본 발명의 한 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 5는 본 발명의 또 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 6은 본 발명의 한 실시예에 따른 분석 화면의 예시이다.FIG. 1 is a view for schematically explaining a network related to an internal network attack according to an embodiment of the present invention.
2 is a block diagram of a detection apparatus according to an embodiment of the present invention.
3 is a flowchart of an internal network attack detection method according to an embodiment of the present invention.
4 is a flowchart of an internal network attack detection method according to another embodiment of the present invention.
5 is a flowchart of an internal network attack detection method according to another embodiment of the present invention.
6 is an illustration of an analysis screen according to an embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.
이제 도면을 참고하여 본 발명의 실시예에 따른 내부망공격 탐지장치 및 방법에 대해 설명한다.An internal network attack detection apparatus and method according to an embodiment of the present invention will now be described with reference to the drawings.
도 1은 본 발명의 한 실시예에 따른 내부망공격에 관계된 네트워크를 개략적으로 설명하는 도면이다.FIG. 1 is a view for schematically explaining a network related to an internal network attack according to an embodiment of the present invention.
도 1을 참고하면, 통신 네트워크는 네트워크 장치(10), 내부망(20), 외부망(30), 그리고 내부망공격 탐지장치(앞으로 "탐지장치"라고 한다)(100)로 구성된다. 네트워크 장치(10)는 내부망(20)으로 통하는 관문으로서, 내부망(20)과 외부망(30)을 분리한다. 네트워크 장치(10)는 게이트웨이나 스위치 등일 수 있다. 탐지장치(100)는 내부망(20)과 외부망(30) 사이에 위치한다. 탐지장치(100)는 네트워크 장치(10)에 구현되거나, 네트워크 장치(10)와 별도로 구현될 수 있다. Referring to FIG. 1, the communication network includes a
공격자 장치(200)는 외부망(30)에 위치한다. 내부망(20)은 복수의 통신장치(300, 400, 500, 600)를 포함한다. The
네트워크 장치(10)가 방화벽 등을 통해 외부에서 내부자산으로 직접 접속하는 것을 차단한다. 따라서, 공격자 장치(200)는 다양한 방법으로 내부망(20)에 접근하여, 내부망(20)의 통신장치를 공격 수행 장치로 만든다. 예를 들면, 공격자 장치(200)는 악성코드가 첨부된 메일발송, 인터넷서핑 중 사용자 모르게 악성파일 다운로드, 설치된 프로그램 공급자의 전산자원 공격 등 다양한 방법을 통해 내부망 통신장치들을 감염시킬 수 있다. 감염된 장치는 공격자 장치(200)와 주기적으로 접속하여 명령을 수신하고, 명령에 따른 동작을 수행하는 공격 수행 장치가 된다. 여기서, 공격 수행 장치는 통신장치(300-600)일 수 있다.The
공격 수행 장치(300-600)는 주기적으로 공격자 장치(200)에 접속한다. 그러면, 각 공격 수행 장치(300-600)와 공격자 장치(200) 사이에 명령제어채널이 생성된다. The attack execution device 300-600 periodically accesses the
공격자 장치(200)는 명령제어채널을 통해 각 공격 수행 장치(300-600)에게 명령을 전달하고, 정보를 수신한다. 접속 주기는 공격자가 명령을 전달할 수 있는 주기일 수 있다. 접속 주기가 비상식적으로 길어 명령제어채널이 드문드문 생성되는 경우, 네트워크 장치(10)나 탐지장치(100) 가 명령제어채널을 찾아내기 어려울 수 있으나, 이 때문에 공격자는 명령 전달 시간이 지연될 수 있다. 따라서, 대부분의 공격자 장치는 접속 주기를 짧게 한다. 예를 들면, 공격 수행 장치는 1분에 수차례 공격자 장치와 접속할 수 있다. 또한 명령제어채널이 긴 시간 동안 유지되는 경우, 공격자 장치가 한번에 많은 정보를 가져갈 수 있지만, 탐지장치(100)가 쉽게 탐지할 수 있다. 따라서, 대부분의 공격자 장치는 명령제어채널을 짧게 유지하면서, 일정 기간 동안 주기적으로 접속하도록 공격 수행 장치에게 명령한다.The
이와 같이, 공격 수행 장치(300-600)는 내부망에 연결된 통신장치로서, 정상 서버에 접속하는 것과 같이, 외부망의 공격자 장치(200)에 접속한다. 따라서, 특정 시그니처나 알려진 악성 인터넷 주소와 같은 정보를 사용하여 명령제어채널을 탐지하는 기존 방법은, 세션을 짧게 유지하면서 일정 기간 동안 지속적으로 생성되는 명령제어채널을 탐지하기 어렵다. 또한, 기존 방법은 어느 한 시점에서 악성행위로 보이는 징후를 탐지하므로, 장기간 잠복하여 수행하는 공격을 탐지하기 어렵다. 이러한 문제를 해결하기 위해, 탐지장치(100)는 명령제어채널을 연결하기 위해 반드시 생성되어야하는 세션 정보를 분석하여 명령제어채널을 탐지한다.As described above, the attack execution device 300-600 is a communication device connected to the internal network and connects to the
탐지장치(100)는 내부망(20)과 외부망(30) 사이에 생성되는 세션들을 모니터링한다. 탐지장치(100)는 내부망의 통신장치별로 생성되는 세션 정보를 수집한다. 세션 정보는 세션에 관계된 각종 통신 로그로서, 세션의 출발지 정보, 목적지 정보, 트래픽 정보 등을 포함한다. The
탐지장치(100)는 세션별로 세션식별정보를 할당할 수 있다. 세션은 출발지와 목적지에 의해 구분될 수 있다. 구체적으로, 세션은 출발지 주소(IP), 출발지 포트(Port), 목적지 주소, 목적지 포트, 시간정보로 구분될 수 있다. The
탐지장치(100)는 분석 단위 시간별로 각 세션식별정보에 해당하는 세션이 적어도 한번 생성됐는지 확인한다. 탐지장치(100)는 어느 세션식별정보에 해당하는 세션이 분석 단위 시간마다 지속적으로 발견되는 경우, 이 세션을 명령제어채널로 판단한다.The
도 2는 본 발명의 한 실시예에 따른 탐지장치의 블록도이다.2 is a block diagram of a detection apparatus according to an embodiment of the present invention.
도 2를 참고하면, 탐지장치(100)는 세션 로그 수집부(110), 분석부(130), 그리고 판단부(150)를 포함한다.Referring to FIG. 2, the
세션 로그 수집부(110)는 내부망 통신장치와 외부망 통신장치 사이에 생성되는 세션 정보를 수집한다. 세션 정보는 세션의 출발지 정보, 목적지 정보를 포함하고, 출발지는 내부망 통신장치이고, 목적지는 외부망 통신장치이다. 세션 정보는 표 1과 같은 정보를 포함할 수 있다. The session log collecting unit 110 collects session information generated between the internal network communication device and the external network communication device. The session information includes the source information of the session and the destination information, the source is the internal network communication device, and the destination is the external network communication device. The session information may include information as shown in Table 1.
분석부(130)는 분석 단위 시간을 설정한다. 분석 단위 시간은 지속적으로 접속하는 공격자 장치의 접속 특성을 기초로 설정 및 변경될 수 있다. 분석 단위 시간이 공격자 장치의 접속 주기보다 짧으면, 공격자 장치가 주기적으로 공격하고 있음에도 불구하고, 명령제어채널에 해당하는 세션이 어느 분석 단위 시간에 발견되지 않을 수 있다. 따라서, 분석부(130)는 주기적으로 생성되는 명령제어채널을 탐지할 수 있도록 분석 단위 시간을 설정한다. 예를 들면, 분석 단위 시간은 접속 주기보다 충분히 긴 시간, 예를 들면 30분이나 1시간 등으로 설정될 수 있다.The
분석부(130)는 분석 단위 시간별로 세션 정보를 분석한다. The
분석부(130)는 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 세션 목록을 만든다. 분석부(130)는 분석단위 시간 스탬프, 출발지 정보, 목적지 정보 등을 포함하는 메타로그를 생성하여 각 세션을 정규화한다. 이때, 분석부(130)는 세션의 생성 여부를 탐지하는 것이 중요하므로, 중복 생성된 세션을 제거할 수 있다.The
분석부(130)는 출발지와 목적지로 세션을 식별하여 탐지 대상 세션을 결정한다. 이를 위해, 분석부(130)는 탐지 대상 세션에 대해 세션식별정보를 할당할 수 있다. 이때, 분석부(130)는 세션 정보를 기초로 명령제어채널 가능성이 낮은 세션을 탐지 대상 세션에서 제외한다. 예를 들면, 분석부(130)는 검증된 서버가 목적지인 경우, 해당 목적지를 포함하는 세션에 대해서 세션식별정보를 할당하지 않는다. 즉, 분석부(130)는 명령제어채널 가능성이 낮은 세션을 모니터링할 필요가 없기 때문이다. 분석부(130)는 표 2와 같이 세션식별정보를 할당할 수 있다. 통신장치(300)가 세션식별정보 S1에 해당하는 세션을 생성하고, 통신장치(400)가 세션식별정보 S2 및 S3에 해당하는 세션을 생성하고, 통신장치(500)가 세션식별정보 S5에 해당하는 세션을 생성하며, 통신장치(600)가 세션식별정보 S4에 해당하는 세션을 생성하는 것으로 가정한다.The
분석부(130)는 각 분석 단위 시간 동안 각 탐지 대상 세션이 생성되는지 확인한다. 분석부(130)는 분석 단위 시간 동안 한번이라도 탐지 대상 세션이 생성되면 "생성"으로 판단한다. 예를 들어, 분석 단위 시간이 1시간인 경우, 분석부(130)는 표 3과 같이 분석 단위 시간별로 각 탐지 대상 세션의 생성 여부를 관리한다. 분석부(130)는 "생성" 또는 "미생성" 이외에, 분석 단위 시간 동안 세션이 생성된 횟수를 누적해 관리할 수 있다.The
12:002013-6-25
12:00
13:002013-6-25
13:00
14:002013-6-25
14:00
15:002013-6-25
15:00
16:002013-6-25
16:00
17:002013-6-25
17:00
판단부(150)는 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 정보를 기초로 명령제어채널을 탐지한다. 생성 정보는 생성 빈도, 생성 빈도율, 생성 패턴 등일 수 있다.The
판단부(150)는 표 4와 같이 탐지 시간 동안의 생성 빈도를 분석한다. 탐지시간은 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 시간이다. 예를 들어, 세션식별정보 S1에 해당하는 통신장치(300)는 분석 시점부터 72 분석 단위 시간 전에 목적지 장치에 최초 접속하였다. 그리고 세션식별정보 S1에 해당하는 통신장치(300)는 분석 단위 시간마다 한번 이상 목적지 장치에 접속하였다. 세션식별정보 S4에 해당하는 통신장치(600)는 분석 시점부터 71 분석 단위 시간 전에 목적지 주소에 해당하는 외부망 통신 장치에 최초 접속하였다. 그리고 세션식별정보 S4에 해당하는 통신장치(600)는 71 분석 단위 시간 동안 10 분석 단위 시간에만 목적지 장치에 접속하였다. The
(단위: 분석 단위 시간)Detection time
(Unit: Analysis unit time)
(단위: 횟수)Generation frequency
(Unit: number of times)
(단위: %)Frequency rate
(unit: %)
판단부(150)는 내부망 통신 장치가 세션을 생성할 수 있는 활동 시간을 탐지 시간으로 정할 수 있다. 즉, 내부망 통신 장치는 전원이 꺼진 시간 등의 휴지 시간에 세션을 생성할 수 없다. 따라서, 분석부(130)는 각 내부망 통신 장치의 휴지 시간을 탐지 시간에서 제외할 수 있다. 예를 들어, 세션식별정보 S5에 해당하는 통신장치(500)는 분석 시점부터 72 분석 단위 시간 전에 목적지 장치에 최초 접속하였다. 그러나, 세션식별정보 S5에 해당하는 통신장치(500)는 42 분석 단위 시간 동안 휴지 상태였다. 그러면, 분석부(130)는 세션식별정보 S5의 탐지 시간을 30 분석 단위 시간으로 변경한다. 이를 위해 분석부(130)는 각 내부망 통신 장치의 휴지 시간을 모니터링한다. 분석부(130)는 각 내부망 통신 장치의 패킷 송수신 여부를 모니터링하여 휴지 시간인지 활동 시간인지 판단할 수 있다.The
판단부(150)는 탐지 시간 동안 각 세션식별정보의 생성 빈도를 기초로 명령제어채널을 탐지한다. 명령제어채널은 일정 기간 동안 주기적으로 생성된다. 따라서, 판단부(150)는 탐지 시간 동안 기준 빈도 이상 생성된 세션을 명령제어채널로 판단할 수 있다. 또는 판단부(150)는 빈도율이 기준 빈도율 이상인 세션을 명령제어채널로 판단할 수 있다. 예를 들어, 탐지 대상 세션 S1, S2, S3, S5를 살펴보면, 분석 시간 단위마다 세션이 생성된 것이므로, 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5를 명령제어채널로 탐지한다. 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5의 목적지 주소를 공격자 장치의 주소로 판단한다. 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5의 출발지 주소를 공격 수행 장치, 즉 감염 장치의 주소로 판단한다. The
판단부(150)는 명령제어채널로 탐지된 세션 정보를 기초로 나머지 세션을 필터링할 수 있다. 예를 들어, 판단부(150)는 공격자 장치의 주소로 판단한 목적지 주소를 포함하는 세션을 명령제어채널로 판단할 수 있다. The
판단부(150)는 각 세션식별정보의 생성 빈도에 관계된 표준편차를 기초로 명령제어채널을 탐지할 수 있다. 어느 세션이 탐지 시간 동안 꾸준히 생성된 경우, 이 세션의 표준편차는 0에 가까운 값을 가진다. 따라서, 판단부(150)는 표준 편차가 0에 가까운 세션을 명령제어채널로 판단할 수 있다.The
도 3은 본 발명의 한 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.3 is a flowchart of an internal network attack detection method according to an embodiment of the present invention.
도 3을 참고하면, 탐지장치(100)는 내부망 통신장치와 외부망 통신장치 사이에 생성되는 세션 정보를 수집한다(S110).Referring to FIG. 3, the
탐지장치(100)는 출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정한다(S120). 탐지장치(100)는 세션 정보를 기초로 명령제어채널 가능성이 낮은 세션을 탐지 대상 세션에서 제외할 수 있다.The
탐지장치(100)는 각 분석 단위 시간 동안 각 탐지 대상 세션이 생성됐는지 확인한다(S130). 탐지장치(100)는 분석 단위 시간 동안 한번이라도 탐지 대상 세션이 생성되면 "생성"으로 판단한다.The
탐지장치(100)는 탐지 대상 세션별로 탐지 시간 동안의 생성 빈도를 분석한다(S140). 탐지시간은 탐지 대상 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 시간이다. 이때, 탐지장치(100)는 탐지 대상 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 전체 시간에서, 각 내부망 통신 장치의 휴지 시간을 제외한 시간을 탐지 시간으로 설정할 수 있다.The
탐지장치(100)는 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지한다(S150). 탐지장치(100)는 탐지 시간 동안 기준 빈도 이상 생성된 세션 또는 빈도율이 기준 빈도율 이상인 세션을 명령제어채널로 판단할 수 있다.The
도 4는 본 발명의 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.4 is a flowchart of an internal network attack detection method according to another embodiment of the present invention.
도 4를 참고하면, 탐지장치(100)는 분석 단위 시간 동안 수집한 세션 정보를 로그 버킷(log bucket)에 수집한다(S210). 로그 버킷은 분석 단위 시간별 로그를 저장하는 저장 단위이다.Referring to FIG. 4, the
탐지장치(100)는 로그 버킷(N=n)에 들어있는 세션 정보를 기초로 분석 단위 시간(N=n)에 생성된 세션 목록을 만든다(S220). The
탐지장치(100)는 세션 목록을 기초로 탐지 대상 세션을 결정한다(S230). 탐지 대상 세션은 이전 분석 단위 시간부터 발견된 세션일 수 있고, 현재 분석 단위 시간에 최초로 생성된 세션일 수 있다.The
탐지장치(100)는 각 탐지 대상 세션의 생성 빈도를 증가시킨다(S240).The
탐지장치(100)는 다음 분석 단위 시간(N=n+1)으로 넘어간다(S250). 탐지장치(100)는 다음 로그 버킷(N=n+1)에 들어있는 세션 정보를 기초로 분석 단위 시간(N=n+1)에 생성된 세션 목록을 만든다.The
이렇게, 시간이 지남에 따라 각 탐지 대상 세션의 생성 빈도가 누적된다. 그러면, 탐지장치(100)는 각 탐지 대상 세션의 생성 빈도를 기초로 명령제어채널을 탐지한다.As a result, the generation frequency of each session to be detected increases over time. Then, the
도 5는 본 발명의 또 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.5 is a flowchart of an internal network attack detection method according to another embodiment of the present invention.
도 5를 참고하면, 탐지장치(100)는 분석 단위 시간을 설정한다(S310).Referring to FIG. 5, the
탐지장치(100)는 탐지 대상 세션별로 탐지 대상 세션이 생성된 분석 단위 시간 수를 누적한다(S320).The
탐지장치(100)는 탐지 대상 세션별로 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 갱신한다(S330). 탐지장치(100)는 명령제어채널의 접속 주기를 알 수 없다. 따라서, 분석 단위 시간이 접속 주기에 비해 짧으면, 탐지 대상 세션이 드문드문 생성된 것처럼 보일 수 있다. 따라서, 탐지장치(100)는 탐지 시간 동안 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 늘릴 수 있다. 또는 분석 단위 시간이 접속 주기에 비해 너무 길면, 탐지장치(100)는 명령제어채널을 탐지하는 시간이 오래 걸릴 수 있다 따라서, 탐지장치(100)는 탐지 시간 동안 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 줄일 수 있다.The
공격자 장치는 내부망의 공격 대상 장치를 제어하기 위해 반드시 공격 대상 장치와 통신을 해야 한다. 접속 주기와 공격의 정밀성은 트레이드오프(Trade-off) 관계에 있다. 따라서 공격자 장치는 일정 수준 이상의 정밀성을 유지하기 위해 주기적으로 내부망의 공격 대상 장치와 통신을 해야 한다. 공격자 장치가 은닉성을 강화하여 접속 주기를 랜덤하게 혹은 길게 가져갈 수 있다. 이러한 경우에도 탐지장치(100)는 분석 단위 시간을 늘려 지속적인 접속을 파악할 수 있다. The attacker device must communicate with the target device to control the target device of the internal network. The connection cycle and attack precision are in a trade-off relationship. Therefore, the attacker device must periodically communicate with the target device of the internal network in order to maintain a certain level of precision. The attacker device can enhance the concealment and take the connection cycle at random or longer. Even in this case, the
도 6은 본 발명의 한 실시예에 따른 분석 화면의 예시이다.6 is an illustration of an analysis screen according to an embodiment of the present invention.
도 6을 참고하면, 탐지장치(100)는 분석 단위 시간이 1시간인 경우, 시간마다 탐지 대상 세션이 생성됐는지 보여주는 화면(50)을 제공한다. Referring to FIG. 6, the
사용자는 화면(50)을 통해 출발지 주소가 192.168.1.245인 장치는 목적지 주소가 74.125.128.101인 장치로 3일 내내 매시간 접속한 것을 알 수 있다. The user can see through the
이와 같이, 본 발명의 실시예에 따르면 알려진 정보를 기반으로 공격자를 탐지하는 방식에서 벗어나, 내부망 공격을 위해 반드시 생성되어야 하는 명령제어채널을 세션 기반으로 탐지하므로, 다양한 방식의 내부망 공격을 탐지할 수 있다. 본 발명의 실시예에 따르면 점점 정교하게 진화하고 있는 내부망 공격 형태에 대해서도 효과적으로 대응할 수 있다. 본 발명의 실시예에 따르면 변형된 공격이나 암호화된 트래픽에 대해서도 탐지할 수 있으므로, 통신 프로토콜에 종속되지 않고 내부망공격을 탐지할 수 있다. As described above, according to the embodiment of the present invention, since the command control channel which must be generated for the internal network attack is detected based on the session based on the detection of the attacker on the basis of known information, can do. According to the embodiment of the present invention, it is possible to effectively cope with an internal network attack pattern that is gradually and gradually evolving. According to the embodiment of the present invention, since it is possible to detect a modified attack or encrypted traffic, it is possible to detect an internal network attack without depending on a communication protocol.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiments of the present invention described above are not implemented only by the apparatus and method, but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
Claims (15)
내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부,
분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고
분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부를 포함하고,
상기 판단부는 임의 분석 단위 시간에 임의 탐지 대상 세션이 적어도 하나 생성되면, 상기 임의 탐지 대상 세션의 생성 빈도를 증가시키는 내부망공격 탐지장치.A detection device for detecting an internal network attack by an external network communication device,
A session log collecting unit for collecting session information generated between internal network communication devices and external network communication devices,
An analyzing unit for setting an analysis unit time, extracting a detection target session generated at each analysis unit time based on session information collected at each analysis unit time, and managing a detection target session generated for each analysis unit time, and
And a determination unit for accumulating the generation frequencies of the detection target sessions during the detection time composed of the analysis unit times and detecting the command control channel among the detection target sessions based on the generation frequency of each detection target session,
Wherein the determination unit increases the generation frequency of the random detection target session when at least one random detection target session is generated in a random analysis unit time.
상기 판단부는
상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지장치.The method of claim 1,
The determination unit
A reference frequency is set based on the number of analysis unit time included in the detection time, and a detection target session whose creation frequency is equal to or higher than the reference frequency is detected as an instruction control channel.
상기 분석부는
세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리하는 내부망공격 탐지장치.The method of claim 1,
The analyzer
An internal network attack detection device for identifying a session based on the source information and the destination information included in the session information, and managing the identified session as a detection target session.
상기 분석부는
세션 정보를 기초로 식별한 세션을 필터링하여 상기 탐지 대상 세션을 결정하는 내부망공격 탐지장치.The method of claim 1,
The analyzer
And determines the session to be detected by filtering the session identified based on the session information.
상기 판단부는
제1 분석 단위 시간에 제1 탐지 대상 세션이 생성된 경우, 상기 제1 탐지 대상 세션의 생성 빈도를 증가시키는 내부망공격 탐지장치.The method of claim 1,
The determination unit
And if the first detection target session is generated in the first analysis unit time, increases the generation frequency of the first detection target session.
상기 판단부는
상기 제1 탐지 대상 세션의 생성 빈도를 기초로 상기 제1 탐지 대상 세션이 일정 개수 이상의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지장치.The method of claim 5,
The determination unit
The method of claim 1, wherein if the first detection target session is continuously generated in a predetermined number or more of consecutive analysis unit times based on the generation frequency of the first detection target session, Attack detection device.
상기 판단부는
내부망 통신 장치의 활동 시간에 해당하는 분석 단위 시간들로 탐지 시간을 구성하는 내부망공격 탐지장치.The method of claim 1,
The determination unit
An internal network attack detection device that configures a detection time with the analysis unit time corresponding to the activity time of the internal network communication device.
상기 판단부는
명령제어채널의 세션 정보를 기초로 내부망 공격 명령을 전송하는 외부망 통신장치를 탐지하는 내부망공격 탐지장치.The method of claim 1,
The determination unit
And detecting an external network communication device transmitting an internal network attack command based on session information of the command control channel.
내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 단계,
출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정하는 단계, 그리고
각 탐지 대상 세션이 주기적으로 생성되는지 판단하여, 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 단계를 포함하고,
상기 명령제어채널을 탐지하는 단계는
각 분석 단위 시간 동안 각 탐지 대상 세션의 생성 여부를 기초로 각 탐지 대상 세션이 주기적으로 생성되는지 판단하고, 주기적으로 생성되는 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지방법.A method for detecting an internal network attack by an external network communication apparatus,
Collecting session information generated between internal network communication devices and external network communication devices,
Determining a session to be detected by specifying a session as a source and a destination, and
Determining whether each session to be detected is periodically generated, and detecting an instruction control channel among the sessions to be detected,
The step of detecting the command control channel
Determining whether each detection target session is periodically generated based on whether each detection target session is created during each analysis unit time, and detecting a periodically generated detection target session with an instruction control channel.
상기 명령제어채널을 탐지하는 단계는
분석 단위 시간을 설정하는 단계,
각 분석 단위 시간에 수집한 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하는 단계,
분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하는 단계, 그리고
각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 추출하는 단계
를 포함하는 내부망공격 탐지방법.The method of claim 9,
The step of detecting the command control channel
Setting an analysis unit time,
Extracting a detection target session generated in each analysis unit time based on the session information collected in each analysis unit time,
Accumulating the generation frequency of each detection target session during the detection time composed of the analysis unit times, and
Extracting an instruction control channel from the detection target sessions based on the generation frequency of each detection target session
And detecting an internal network attack.
상기 명령제어채널을 추출하는 단계는
상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 추출하는 내부망공격 탐지방법.12. The method of claim 11,
The step of extracting the command control channel
And setting a reference frequency based on the number of analysis unit time included in the detection time and extracting a detection target session having a generation frequency equal to or higher than the reference frequency as an instruction control channel.
각 탐지 대상 세션의 생성 빈도를 기초로 분석 단위 시간을 갱신하는 단계
를 더 포함하는 내부망공격 탐지방법.12. The method of claim 11,
Updating the analysis unit time based on the generation frequency of each detection target session
Further comprising detecting an internal network attack.
상기 탐지 대상 세션을 결정하는 단계는
세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리하는 내부망공격 탐지방법.The method of claim 9,
The step of determining the session to be detected
A method for detecting an internal network attack in which a session is identified based on source information and destination information included in the session information, and the identified session is managed as a detection target session.
상기 명령제어채널을 탐지하는 단계는
제1 탐지 대상 세션이 일정 갯수의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지방법.The method of claim 9,
The step of detecting the command control channel
And detecting the first detection target session as a command control channel when the first detection target session is continuously generated in a predetermined number of consecutive analysis unit times.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20130045028 | 2013-04-23 | ||
KR1020130045028 | 2013-04-23 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20140126651A KR20140126651A (en) | 2014-10-31 |
KR101464367B1 true KR101464367B1 (en) | 2014-11-25 |
Family
ID=51995858
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130084983A KR101464367B1 (en) | 2013-04-23 | 2013-07-18 | Apparatus and method for detecting local network attacks |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101464367B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102037192B1 (en) * | 2018-01-03 | 2019-10-29 | 주식회사 윈스 | Device and method for continuous signal traffic detection of network traffic through hierarchical structure learning |
CN111565202B (en) * | 2020-07-15 | 2020-10-27 | 腾讯科技(深圳)有限公司 | Intranet vulnerability attack defense method and related device |
KR102469399B1 (en) * | 2021-09-10 | 2022-11-21 | 숭실대학교산학협력단 | Attack detection system of can network, attack detection method of can network and computer program stored in a recording medium to execute the method |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050090640A (en) * | 2004-03-09 | 2005-09-14 | 유넷시스템주식회사 | A system and method for analyzing harmful traffic |
KR101253615B1 (en) * | 2011-10-31 | 2013-04-11 | 한국인터넷진흥원 | Security system on 3g wcdma networks |
-
2013
- 2013-07-18 KR KR1020130084983A patent/KR101464367B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050090640A (en) * | 2004-03-09 | 2005-09-14 | 유넷시스템주식회사 | A system and method for analyzing harmful traffic |
KR101253615B1 (en) * | 2011-10-31 | 2013-04-11 | 한국인터넷진흥원 | Security system on 3g wcdma networks |
Also Published As
Publication number | Publication date |
---|---|
KR20140126651A (en) | 2014-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11075885B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
Wu et al. | An effective architecture and algorithm for detecting worms with various scan techniques | |
US8046833B2 (en) | Intrusion event correlation with network discovery information | |
US8079080B2 (en) | Method, system and computer program product for detecting security threats in a computer network | |
US9060019B2 (en) | Out-of band IP traceback using IP packets | |
RU2480937C2 (en) | System and method of reducing false responses when detecting network attack | |
CN108270722B (en) | Attack behavior detection method and device | |
CN111010409B (en) | Encryption attack network flow detection method | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
EP3066608A1 (en) | Context-aware network forensics | |
EP1454468A1 (en) | Heuristic profiler for packet screening | |
CN108616488B (en) | Attack defense method and defense equipment | |
JP2010198386A (en) | Illegal access monitoring system and illegal access monitoring method | |
KR101464367B1 (en) | Apparatus and method for detecting local network attacks | |
Govil et al. | Criminology of botnets and their detection and defense methods | |
Affinito et al. | The evolution of Mirai botnet scans over a six-year period | |
KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
KR20120000942A (en) | Bot-infected host detection apparatus and method based on blacklist access statistics | |
KR100983549B1 (en) | System for defending client distribute denial of service and method therefor | |
Devi et al. | Cloud-based DDoS attack detection and defence system using statistical approach | |
Thing et al. | Locating network domain entry and exit point/path for DDoS attack traffic | |
Wendzel et al. | Preventing protocol switching covert channels | |
JP4661554B2 (en) | Unauthorized access detection method, apparatus and program | |
Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
KR101686472B1 (en) | Network security apparatus and method of defending an malicious behavior |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20171101 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20181114 Year of fee payment: 5 |