KR101464367B1 - Apparatus and method for detecting local network attacks - Google Patents

Apparatus and method for detecting local network attacks Download PDF

Info

Publication number
KR101464367B1
KR101464367B1 KR1020130084983A KR20130084983A KR101464367B1 KR 101464367 B1 KR101464367 B1 KR 101464367B1 KR 1020130084983 A KR1020130084983 A KR 1020130084983A KR 20130084983 A KR20130084983 A KR 20130084983A KR 101464367 B1 KR101464367 B1 KR 101464367B1
Authority
KR
South Korea
Prior art keywords
session
detection target
analysis unit
detection
control channel
Prior art date
Application number
KR1020130084983A
Other languages
Korean (ko)
Other versions
KR20140126651A (en
Inventor
김혁준
Original Assignee
(주)나루씨큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나루씨큐리티 filed Critical (주)나루씨큐리티
Publication of KR20140126651A publication Critical patent/KR20140126651A/en
Application granted granted Critical
Publication of KR101464367B1 publication Critical patent/KR101464367B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Abstract

외부망 통신장치에 의한 내부망 공격을 탐지하는 탐지장치로써, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부, 분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부를 포함한다.A session log collecting unit for collecting session information generated between internal network communication devices and external network communication devices as a detection device for detecting an internal network attack by an external network communication device, An analysis unit for extracting a detection target session generated in each analysis unit time based on the session information collected in a unit time and managing a detection target session generated for each analysis unit time, And a determination unit for accumulating the generation frequencies of the detection target sessions and detecting the command control channel among the detection target sessions based on the generation frequency of each detection target session.

Description

내부망공격 탐지장치 및 방법{APPARATUS AND METHOD FOR DETECTING LOCAL NETWORK ATTACKS}[0001] APPARATUS AND METHOD FOR DETECTING LOCAL NETWORK ATTACKS [0002]

본 발명은 내부망공격 탐지장치 및 방법에 관한 것이다.The present invention relates to an internal network attack detection apparatus and method.

최근 분산서비스거부공격을 기점으로 하여 서비스거부공격, 개인정보 해킹사건, 금융 기관 해킹사건, 그리고 사이버테러 등의 다양한 타겟 공격이 증가하고 있다. 이러한 공격을 수행한 주체 및 공격 방법은 다양하나, 공격대상 네트워크 외부와 공격대상 네트워크 내부가 명령제어채널로 연결되어 공격을 수행하는 공통점이 있다. Recently, various target attacks such as denial of service attack, personal information hacking, financial institution hacking, and cyber terror have been increasing from the distributed denial of service attack. There are many subjects and attack methods that perform such attacks, but there is a common point that attacks outside the attack target network and inside the attack target network are connected to the command control channel.

명령제어채널을 통한 공격은 지능형지속공격(Advanced Persistent attacks) 형태를 보인다. 공격자는 수개월에 걸쳐 공격대상 네트워크에 머무르며 정보수집, 공격도구다운로드, 내부망공격, 시스템파괴, 정보유출 등의 행위를 수행한다. 공격대상 네트워크는 대부분 방화벽, 침입탐지장치 등으로 보호되므로, 공격자는 악성코드가 첨부된 메일발송, 인터넷서핑 중 사용자 모르게 악성파일 다운로드, 설치된 프로그램 공급자의 전산자원 공격 등 다양한 방법을 통해 초기침입 경로를 확보한다.Attack through command control channel is in the form of Advanced Persistent attacks. The attacker stays in the target network for several months and performs actions such as gathering information, downloading attack tools, attacking the internal network, destroying the system, and leaking information. Most attacked networks are protected by firewalls and intrusion detection devices, so an attacker can send an initial intrusion path through various methods such as sending mail with attached malicious code, downloading malicious files without knowing the user while surfing the Internet, .

특히, 최근에는 지속적으로 명령제어채널을 유지하는 것이 아니라, 공격자에 의해 감염된 내부망 장치가 외부에 위치한 공격자에게 접속을 주기적으로 시도하여 명령제어채널을 생성한다. 감염된 장치는 내부망 보안관리자의 탐지를 피하기 위해, 정규포트를 통한 비정규 프로토콜 통신, 비정규 포트 사용, 외부 클라우드 서비스 사용 등 다양한 방법을 통해 외부에 위치한 공격자와 주기적으로 접속한다. In particular, in recent years, an internal network device infected by an attacker periodically attempts to access an attacker located outside, instead of maintaining a command control channel continuously, thereby generating a command control channel. The infected device periodically connects to an external attacker through various methods such as unregistered protocol communication through regular port, unauthorized port use, and use of external cloud service to avoid detection of internal network security administrator.

지금까지의 내부망공격 탐지 장치는 명령제어채널의 기술적 특성을 기초로 명령제어채널을 탐지한다. 즉, 지금까지의 내부망공격 탐지 장치는 특정 시그니처나 악성 인터넷 주소와 같이 이미 알려진 정보를 사용하여 명령제어채널을 탐지한다. 그러나, 이러한 탐지 방법은 이미 알려진 악성행위를 탐지하므로, 이미 사용된 공격방법을 모사하는 낮은 수준의 공격자를 탐지할 수 있을 뿐, 새로운 기법의 명령제어채널을 사용하는 공격자를 탐지하기 어렵다. 따라서, 최근의 공격 방법에 대응할 수 있는 새로운 탐지방법이 요구된다.So far, the internal network attack detection apparatus detects the command control channel based on the technical characteristics of the command control channel. That is, the internal network attack detection apparatus detects the command control channel using known information such as a specific signature or a malicious Internet address. However, since this detection method detects already known malicious behavior, it is difficult to detect an attacker using the command control channel of the new technique only in detecting a low-level attacker that simulates an already used attack method. Therefore, a new detection method capable of coping with recent attack methods is required.

본 발명이 해결하고자 하는 과제는 내부망과 외부망 사이에 생성된 세션들을 단위 시간마다 모니터링하고, 각 세션의 생성 빈도를 기초로 명령제어채널을 탐지하는 내부망공격 탐지 장치 및 방법을 제공하는 것이다.An object of the present invention is to provide an internal network attack detection apparatus and method for monitoring sessions generated between an internal network and an external network at every unit time and detecting a command control channel based on the generation frequency of each session .

본 발명의 한 실시예에 따른 외부망 통신장치에 의한 내부망 공격을 탐지하는 탐지장치로서, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부, 분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부를 포함한다.A detection apparatus for detecting an internal network attack by an external network communication apparatus according to an embodiment of the present invention includes a session log collection unit for collecting session information generated between internal network communication apparatuses and external network communication apparatuses, An analysis unit for setting a unit time, extracting a detection target session generated at each analysis unit time based on the session information collected at each analysis unit time, managing a detection target session generated for each analysis unit time, And a determination unit for accumulating the generation frequencies of the detection target sessions during the detection time configured to detect the command control channel among the detection target sessions based on the generation frequency of each detection target session.

상기 판단부는 상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.The determination unit may set the reference frequency based on the number of analysis unit time included in the detection time, and may detect the detection target session having the generation frequency equal to or greater than the reference frequency as an instruction control channel.

상기 분석부는 세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리할 수 있다.The analyzer may identify the session based on the source information and the destination information included in the session information, and manage the identified session as a detection target session.

상기 분석부는 세션 정보를 기초로 식별한 세션을 필터링하여 상기 탐지 대상 세션을 결정할 수 있다.The analyzing unit may determine the detection target session by filtering the session identified based on the session information.

상기 판단부는 제1 분석 단위 시간에 제1 탐지 대상 세션이 생성된 경우, 상기 제1 탐지 대상 세션의 생성 빈도를 증가시킬 수 있다.The determination unit may increase the frequency of generation of the first detection target session when the first detection target session is generated in the first analysis unit time.

상기 판단부는 상기 제1 탐지 대상 세션의 생성 빈도를 기초로 상기 제1 탐지 대상 세션이 일정 개수 이상의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.Wherein the determination unit detects the first detection target session as a command control channel when the first detection target session is continuously generated in a predetermined number or more of consecutive analysis unit times based on the generation frequency of the first detection target session can do.

상기 판단부는 내부망 통신 장치의 활동 시간에 해당하는 분석 단위 시간들로 탐지 시간을 구성할 수 있다.The determination unit may configure the detection time as the analysis unit time corresponding to the activity time of the internal network communication device.

상기 판단부는 명령제어채널의 세션 정보를 기초로 내부망 공격 명령을 전송하는 외부망 통신장치를 탐지할 수 있다.The determination unit may detect an external network communication apparatus transmitting an internal network attack command based on the session information of the command control channel.

본 발명의 다른 실시예에 따른 내부망공격 탐지장치가 외부망 통신장치에 의한 내부망 공격을 탐지하는 방법으로서, 내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 단계, 출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정하는 단계, 그리고 각 탐지 대상 세션이 주기적으로 생성되는지 판단하여, 주기적으로 생성되는 탐지 대상 세션을 명령제어채널을 탐지하는 단계를 포함한다.A method for detecting an internal network attack by an external network communication apparatus, the method comprising: collecting session information generated between internal network communication apparatuses and external network communication apparatuses according to another embodiment of the present invention Determining a session to be detected by specifying a session to a source and a destination, determining whether each session to be detected is periodically generated, and detecting a command-control channel of a periodically generated session to be detected.

상기 명령제어채널을 탐지하는 단계는 각 분석 단위 시간 동안 각 탐지 대상 세션의 생성 여부를 기초로 각 탐지 대상 세션이 주기적으로 생성되는지 판단할 수 있다.The step of detecting the command control channel may determine whether each detection target session is periodically generated based on whether or not each detection target session is created during each analysis unit time.

상기 명령제어채널을 탐지하는 단계는 분석 단위 시간을 설정하는 단계, 각 분석 단위 시간에 수집한 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하는 단계, 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하는 단계, 그리고 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 추출하는 단계를 포함한다.The step of detecting the command control channel includes the steps of setting an analysis unit time, extracting a detection target session generated in each analysis unit time based on the session information collected in each analysis unit time, Accumulating the generation frequency of each detection target session during the detection time, and extracting the command control channel from the detection target sessions based on the generation frequency of each detection target session.

상기 명령제어채널을 추출하는 단계는 상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 추출할 수 있다.The step of extracting the command control channel may include setting a reference frequency based on the number of analysis unit time included in the detection time and extracting a detection target session having the generation frequency equal to or greater than the reference frequency as an instruction control channel.

상기 내부망공격 탐지방법은 각 탐지 대상 세션의 생성 빈도를 기초로 분석 단위 시간을 갱신하는 단계를 더 포함할 수 있다.The internal network attack detection method may further include updating the analysis unit time based on the generation frequency of each detection target session.

상기 탐지 대상 세션을 결정하는 단계는 세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리할 수 있다.The step of determining a session to be detected may identify a session based on the source information and the destination information included in the session information, and manage the identified session as a session to be detected.

상기 명령제어채널을 추출하는 단계는 제1 탐지 대상 세션이 일정 갯수의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지할 수 있다.The step of extracting the command control channel may detect the first detection target session as a command control channel when the first detection target session is continuously generated in a predetermined number of consecutive analysis unit times.

본 발명의 실시예에 따르면 알려진 정보를 기반으로 공격자를 탐지하는 방식에서 벗어나, 내부망 공격을 위해 반드시 생성되어야 하는 명령제어채널을 세션 기반으로 탐지하므로, 다양한 방식의 내부망 공격을 탐지할 수 있다. 본 발명의 실시예에 따르면 점점 정교하게 진화하고 있는 내부망 공격 형태에 대해서도 효과적으로 대응할 수 있다. 본 발명의 실시예에 따르면 변형된 공격이나 암호화된 트래픽에 대해서도 탐지할 수 있으므로, 통신 프로토콜에 종속되지 않고 내부망공격을 탐지할 수 있다.According to the embodiment of the present invention, it is possible to detect various types of internal network attacks because it detects a command control channel that must be generated for an internal network attack, on the basis of a session, from a method of detecting an attacker based on known information . According to the embodiment of the present invention, it is possible to effectively cope with an internal network attack pattern that is gradually and gradually evolving. According to the embodiment of the present invention, since it is possible to detect a modified attack or encrypted traffic, it is possible to detect an internal network attack without depending on a communication protocol.

도 1은 본 발명의 한 실시예에 따른 내부망공격에 관계된 네트워크를 개략적으로 설명하는 도면이다.
도 2는 본 발명의 한 실시예에 따른 탐지장치의 블록도이다.
도 3은 본 발명의 한 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 5는 본 발명의 또 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.
도 6은 본 발명의 한 실시예에 따른 분석 화면의 예시이다.FIG. 1 is a view for schematically explaining a network related to an internal network attack according to an embodiment of the present invention.
2 is a block diagram of a detection apparatus according to an embodiment of the present invention.
3 is a flowchart of an internal network attack detection method according to an embodiment of the present invention.
4 is a flowchart of an internal network attack detection method according to another embodiment of the present invention.
5 is a flowchart of an internal network attack detection method according to another embodiment of the present invention.
6 is an illustration of an analysis screen according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

이제 도면을 참고하여 본 발명의 실시예에 따른 내부망공격 탐지장치 및 방법에 대해 설명한다.An internal network attack detection apparatus and method according to an embodiment of the present invention will now be described with reference to the drawings.

도 1은 본 발명의 한 실시예에 따른 내부망공격에 관계된 네트워크를 개략적으로 설명하는 도면이다.FIG. 1 is a view for schematically explaining a network related to an internal network attack according to an embodiment of the present invention.

도 1을 참고하면, 통신 네트워크는 네트워크 장치(10), 내부망(20), 외부망(30), 그리고 내부망공격 탐지장치(앞으로 "탐지장치"라고 한다)(100)로 구성된다. 네트워크 장치(10)는 내부망(20)으로 통하는 관문으로서, 내부망(20)과 외부망(30)을 분리한다. 네트워크 장치(10)는 게이트웨이나 스위치 등일 수 있다. 탐지장치(100)는 내부망(20)과 외부망(30) 사이에 위치한다. 탐지장치(100)는 네트워크 장치(10)에 구현되거나, 네트워크 장치(10)와 별도로 구현될 수 있다. Referring to FIG. 1, the communication network includes a network device 10, an internal network 20, an external network 30, and an internal network attack detection device (hereinafter referred to as a "detection device ") 100. The network device 10 is a gateway to the internal network 20 and separates the internal network 20 and the external network 30. [ The network device 10 may be a gateway, a switch, or the like. The detection device 100 is located between the inner network 20 and the outer network 30. The detection device 100 may be implemented in the network device 10, or may be implemented separately from the network device 10.

공격자 장치(200)는 외부망(30)에 위치한다. 내부망(20)은 복수의 통신장치(300, 400, 500, 600)를 포함한다. The attacker apparatus 200 is located in the external network 30. [ The internal network 20 includes a plurality of communication devices 300, 400, 500, and 600.

네트워크 장치(10)가 방화벽 등을 통해 외부에서 내부자산으로 직접 접속하는 것을 차단한다. 따라서, 공격자 장치(200)는 다양한 방법으로 내부망(20)에 접근하여, 내부망(20)의 통신장치를 공격 수행 장치로 만든다. 예를 들면, 공격자 장치(200)는 악성코드가 첨부된 메일발송, 인터넷서핑 중 사용자 모르게 악성파일 다운로드, 설치된 프로그램 공급자의 전산자원 공격 등 다양한 방법을 통해 내부망 통신장치들을 감염시킬 수 있다. 감염된 장치는 공격자 장치(200)와 주기적으로 접속하여 명령을 수신하고, 명령에 따른 동작을 수행하는 공격 수행 장치가 된다. 여기서, 공격 수행 장치는 통신장치(300-600)일 수 있다.The network device 10 is prevented from directly connecting from the outside to the internal assets through a firewall or the like. Accordingly, the attacker apparatus 200 accesses the internal network 20 in various ways, thereby making the communication apparatus of the internal network 20 an attack performing apparatus. For example, the attacker device 200 can infect internal network communication devices through various methods such as sending mail with a malicious code attached thereto, downloading a malicious file without knowing the user while surfing the Internet, and attacking a computer resource of an installed program provider. The infected device is an attack performing device that periodically connects with the attacker device 200 to receive an instruction and perform an operation according to the instruction. Here, the attack performing device may be the communication device 300-600.

공격 수행 장치(300-600)는 주기적으로 공격자 장치(200)에 접속한다. 그러면, 각 공격 수행 장치(300-600)와 공격자 장치(200) 사이에 명령제어채널이 생성된다. The attack execution device 300-600 periodically accesses the attacker device 200. [ Then, a command control channel is generated between each attack performing device 300-600 and the attacker device 200. [

공격자 장치(200)는 명령제어채널을 통해 각 공격 수행 장치(300-600)에게 명령을 전달하고, 정보를 수신한다. 접속 주기는 공격자가 명령을 전달할 수 있는 주기일 수 있다. 접속 주기가 비상식적으로 길어 명령제어채널이 드문드문 생성되는 경우, 네트워크 장치(10)나 탐지장치(100) 가 명령제어채널을 찾아내기 어려울 수 있으나, 이 때문에 공격자는 명령 전달 시간이 지연될 수 있다. 따라서, 대부분의 공격자 장치는 접속 주기를 짧게 한다. 예를 들면, 공격 수행 장치는 1분에 수차례 공격자 장치와 접속할 수 있다. 또한 명령제어채널이 긴 시간 동안 유지되는 경우, 공격자 장치가 한번에 많은 정보를 가져갈 수 있지만, 탐지장치(100)가 쉽게 탐지할 수 있다. 따라서, 대부분의 공격자 장치는 명령제어채널을 짧게 유지하면서, 일정 기간 동안 주기적으로 접속하도록 공격 수행 장치에게 명령한다.The attacker device 200 transmits the command to each of the attack performing devices 300-600 through the command control channel and receives the information. The connection period may be a period during which the attacker can deliver the command. If the command cycle is sparse and the command control channel is sparsely generated, it may be difficult for the network device 10 or the detection device 100 to find the command control channel, but this may cause the attacker to delay command delivery time . Therefore, most attacker devices shorten the connection period. For example, an attacking device may connect to an attacker device several times a minute. Also, if the command control channel is maintained for a long time, the attacker apparatus can take a lot of information at a time, but the detection apparatus 100 can easily detect it. Therefore, most attacker devices instruct the attacking device to connect periodically for a certain period while keeping the command control channel short.

이와 같이, 공격 수행 장치(300-600)는 내부망에 연결된 통신장치로서, 정상 서버에 접속하는 것과 같이, 외부망의 공격자 장치(200)에 접속한다. 따라서, 특정 시그니처나 알려진 악성 인터넷 주소와 같은 정보를 사용하여 명령제어채널을 탐지하는 기존 방법은, 세션을 짧게 유지하면서 일정 기간 동안 지속적으로 생성되는 명령제어채널을 탐지하기 어렵다. 또한, 기존 방법은 어느 한 시점에서 악성행위로 보이는 징후를 탐지하므로, 장기간 잠복하여 수행하는 공격을 탐지하기 어렵다. 이러한 문제를 해결하기 위해, 탐지장치(100)는 명령제어채널을 연결하기 위해 반드시 생성되어야하는 세션 정보를 분석하여 명령제어채널을 탐지한다.As described above, the attack execution device 300-600 is a communication device connected to the internal network and connects to the attacker device 200 of the external network, such as connecting to the normal server. Thus, existing methods for detecting command control channels using information such as specific signatures or known malicious Internet addresses are difficult to detect command control channels that are continuously generated for a period of time while keeping the session short. In addition, since the existing method detects an indication that malicious activity occurs at a certain point in time, it is difficult to detect an attack to be carried out for a long period of time. To solve this problem, the detection apparatus 100 detects the command control channel by analyzing the session information that must be generated to connect the command control channel.

탐지장치(100)는 내부망(20)과 외부망(30) 사이에 생성되는 세션들을 모니터링한다. 탐지장치(100)는 내부망의 통신장치별로 생성되는 세션 정보를 수집한다. 세션 정보는 세션에 관계된 각종 통신 로그로서, 세션의 출발지 정보, 목적지 정보, 트래픽 정보 등을 포함한다. The detection apparatus 100 monitors sessions generated between the internal network 20 and the external network 30. [ The detection apparatus 100 collects session information generated for each communication apparatus in the internal network. The session information is various communication logs related to the session, including the source information of the session, the destination information, the traffic information, and the like.

탐지장치(100)는 세션별로 세션식별정보를 할당할 수 있다. 세션은 출발지와 목적지에 의해 구분될 수 있다. 구체적으로, 세션은 출발지 주소(IP), 출발지 포트(Port), 목적지 주소, 목적지 포트, 시간정보로 구분될 수 있다. The detection apparatus 100 can allocate session identification information for each session. Sessions can be distinguished by source and destination. Specifically, the session can be divided into a source address (IP), a source port, a destination address, a destination port, and time information.

탐지장치(100)는 분석 단위 시간별로 각 세션식별정보에 해당하는 세션이 적어도 한번 생성됐는지 확인한다. 탐지장치(100)는 어느 세션식별정보에 해당하는 세션이 분석 단위 시간마다 지속적으로 발견되는 경우, 이 세션을 명령제어채널로 판단한다.The detection apparatus 100 determines whether a session corresponding to each session identification information is generated at least once for each analysis unit time. When the session corresponding to the session identification information is continuously found for each analysis unit time, the detection apparatus 100 determines the session as a command control channel.

도 2는 본 발명의 한 실시예에 따른 탐지장치의 블록도이다.2 is a block diagram of a detection apparatus according to an embodiment of the present invention.

도 2를 참고하면, 탐지장치(100)는 세션 로그 수집부(110), 분석부(130), 그리고 판단부(150)를 포함한다.Referring to FIG. 2, the detection apparatus 100 includes a session log collection unit 110, an analysis unit 130, and a determination unit 150.

세션 로그 수집부(110)는 내부망 통신장치와 외부망 통신장치 사이에 생성되는 세션 정보를 수집한다. 세션 정보는 세션의 출발지 정보, 목적지 정보를 포함하고, 출발지는 내부망 통신장치이고, 목적지는 외부망 통신장치이다. 세션 정보는 표 1과 같은 정보를 포함할 수 있다. The session log collecting unit 110 collects session information generated between the internal network communication device and the external network communication device. The session information includes the source information of the session and the destination information, the source is the internal network communication device, and the destination is the external network communication device. The session information may include information as shown in Table 1.

세션 정보Session Information 설명Explanation tsts 연결 발생 시각Time of connection occurrence uiduid 식별값Identification value id.orig_hid.orig_h 출발지 주소(IP)(string)Source address (IP) (string) id.orig_pid.orig_p 출발지 포트번호Source port number id.resp_hid.resp_h 목적지 주소(IP)값(string)Destination Address (IP) value (string) id.resp_pid.resp_p 목적지 포트번호Destination port number protoproto 트랜스포트 계층의 프로토콜 종류(tcp/udp/icmp 등)Protocol type of transport layer (tcp / udp / icmp etc.) serviceservice 어플리케이션 계층의 프로토콜 종류The protocol type of the application layer durationduration 연결 종류 후 다시 연결되기 까지의 시간 차Time difference between connection type and reconnection orig_bytesorig_bytes 출발지에서 보낸 페이로드 바이트 수Number of payload bytes sent from origin resp_bytesresp_bytes 목적지에서 보낸 페이로드 바이트 수The number of payload bytes sent from the destination conn_stateconn_state TCP 연결 상태 코드TCP connection status codes local_origlocal_orig 연결이 local에서 이루어졌으면 T, 그렇지 않으면 FT if connection was done locally, F if not missed_bytesmissed_bytes 패킷 loss된 바이트 수Packets lost bytes historyhistory 연결 상태의 히스토리 나열List history of connection status orig_pktsorig_pkts 출발지에서 보낸 패킷 수Number of packets sent from origin orig_ip_bytesorig_ip_bytes 출발지에서 보낸 IP헤더를 포함한 전체 바이트 수The total number of bytes including the IP header sent from the origin resp_pktsresp_pkts 목적지에서 보낸 패킷 수Number of packets sent from destination resp_ip_bytesresp_ip_bytes 목적지에서 보낸 IP헤더를 포함한 전체 바이트 수The total number of bytes, including the IP header sent from the destination. tunnel_parentstunnel_parents 터널 내부(inner) 커넥션 uidTunnel inner connection uid

분석부(130)는 분석 단위 시간을 설정한다. 분석 단위 시간은 지속적으로 접속하는 공격자 장치의 접속 특성을 기초로 설정 및 변경될 수 있다. 분석 단위 시간이 공격자 장치의 접속 주기보다 짧으면, 공격자 장치가 주기적으로 공격하고 있음에도 불구하고, 명령제어채널에 해당하는 세션이 어느 분석 단위 시간에 발견되지 않을 수 있다. 따라서, 분석부(130)는 주기적으로 생성되는 명령제어채널을 탐지할 수 있도록 분석 단위 시간을 설정한다. 예를 들면, 분석 단위 시간은 접속 주기보다 충분히 긴 시간, 예를 들면 30분이나 1시간 등으로 설정될 수 있다.The analysis unit 130 sets the analysis unit time. The analysis unit time can be set and changed based on the connection characteristics of the attacking device continuously connected. If the analysis unit time is shorter than the connection period of the attacker apparatus, the session corresponding to the command control channel may not be found at a certain analysis unit time even though the attacker apparatus periodically attacks. Accordingly, the analysis unit 130 sets the analysis unit time so as to detect the command control channel generated periodically. For example, the analysis unit time may be set to a time sufficiently longer than the connection period, for example, 30 minutes or 1 hour.

분석부(130)는 분석 단위 시간별로 세션 정보를 분석한다. The analysis unit 130 analyzes the session information for each analysis unit time.

분석부(130)는 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 세션 목록을 만든다. 분석부(130)는 분석단위 시간 스탬프, 출발지 정보, 목적지 정보 등을 포함하는 메타로그를 생성하여 각 세션을 정규화한다. 이때, 분석부(130)는 세션의 생성 여부를 탐지하는 것이 중요하므로, 중복 생성된 세션을 제거할 수 있다.The analysis unit 130 generates a session list generated at each analysis unit time based on the session information collected at each analysis unit time. The analysis unit 130 generates a meta log including analysis unit time stamp, source information, destination information, and the like to normalize each session. At this time, since it is important for the analysis unit 130 to detect whether or not a session is created, a duplicated session can be removed.

분석부(130)는 출발지와 목적지로 세션을 식별하여 탐지 대상 세션을 결정한다. 이를 위해, 분석부(130)는 탐지 대상 세션에 대해 세션식별정보를 할당할 수 있다. 이때, 분석부(130)는 세션 정보를 기초로 명령제어채널 가능성이 낮은 세션을 탐지 대상 세션에서 제외한다. 예를 들면, 분석부(130)는 검증된 서버가 목적지인 경우, 해당 목적지를 포함하는 세션에 대해서 세션식별정보를 할당하지 않는다. 즉, 분석부(130)는 명령제어채널 가능성이 낮은 세션을 모니터링할 필요가 없기 때문이다. 분석부(130)는 표 2와 같이 세션식별정보를 할당할 수 있다. 통신장치(300)가 세션식별정보 S1에 해당하는 세션을 생성하고, 통신장치(400)가 세션식별정보 S2 및 S3에 해당하는 세션을 생성하고, 통신장치(500)가 세션식별정보 S5에 해당하는 세션을 생성하며, 통신장치(600)가 세션식별정보 S4에 해당하는 세션을 생성하는 것으로 가정한다.The analysis unit 130 determines a session to be detected by identifying a session to a source and a destination. To this end, the analysis unit 130 may allocate session identification information to the detection target session. At this time, the analyzer 130 excludes the session having a low possibility of the command control channel from the detection target session based on the session information. For example, if the verified server is a destination, the analysis unit 130 does not assign session identification information to the session including the corresponding destination. That is, the analyzer 130 does not need to monitor sessions with low command control channel possibilities. The analysis unit 130 may allocate session identification information as shown in Table 2. The communication device 300 generates a session corresponding to the session identification information S1 and the communication device 400 generates a session corresponding to the session identification information S2 and S3 and the communication device 500 generates a session corresponding to the session identification information S5 , And the communication apparatus 600 creates a session corresponding to the session identification information S4.

세션식별정보Session identification information 출발지 주소From address 목적지 주소Destination address S1S1 192.168.1.245192.168.1.245 74.125.128.101 74.125.128.101 S2S2 192.168.1.241192.168.1.241 17.172.232.158 17.172.232.158 S3S3 192.168.1.241192.168.1.241 157.56.141.102 157.56.141.102 S4S4 192.168.1.115192.168.1.115 17.83.253.717.83.253.7 S5S5 192.168.1.222192.168.1.222 74.125.128.139 74.125.128.139

분석부(130)는 각 분석 단위 시간 동안 각 탐지 대상 세션이 생성되는지 확인한다. 분석부(130)는 분석 단위 시간 동안 한번이라도 탐지 대상 세션이 생성되면 "생성"으로 판단한다. 예를 들어, 분석 단위 시간이 1시간인 경우, 분석부(130)는 표 3과 같이 분석 단위 시간별로 각 탐지 대상 세션의 생성 여부를 관리한다. 분석부(130)는 "생성" 또는 "미생성" 이외에, 분석 단위 시간 동안 세션이 생성된 횟수를 누적해 관리할 수 있다.The analyzer 130 checks whether each detection target session is generated during each analysis unit time. The analysis unit 130 determines that the session is generated even once even during the analysis unit time, that is, "generated ". For example, when the analysis unit time is one hour, the analysis unit 130 manages the generation of each detection target session by the analysis unit time as shown in Table 3. The analyzer 130 can accumulate and manage the number of times the session is generated during the analysis unit time in addition to the "generated" or the "not generated ".

세션식별정보Session identification information 2013-6-25
12:002013-6-25
12:00 2013-6-25
13:002013-6-25
13:00 2013-6-25
14:002013-6-25
14:00 2013-6-25
15:002013-6-25
15:00 2013-6-25
16:002013-6-25
16:00 2013-6-25
17:002013-6-25
17:00 S1S1 생성produce 생성produce 생성produce 생성produce 생성produce 생성produce S2S2 생성produce 생성produce 생성produce 생성produce 생성produce 생성produce S3S3 생성produce 생성produce 생성produce 생성produce 생성produce 생성produce S4S4 생성produce 미생성Not generated 미생성Not generated 미생성Not generated 생성produce 미생성Not generated S5S5 생성produce 생성produce 생성produce 생성produce 생성produce 생성produce

판단부(150)는 분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 정보를 기초로 명령제어채널을 탐지한다. 생성 정보는 생성 빈도, 생성 빈도율, 생성 패턴 등일 수 있다.The determination unit 150 detects the command control channel based on the generation information of each detection target session during the detection time composed of the analysis unit times. The generation information may be a generation frequency, a generation frequency rate, a generation pattern, and the like.

판단부(150)는 표 4와 같이 탐지 시간 동안의 생성 빈도를 분석한다. 탐지시간은 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 시간이다. 예를 들어, 세션식별정보 S1에 해당하는 통신장치(300)는 분석 시점부터 72 분석 단위 시간 전에 목적지 장치에 최초 접속하였다. 그리고 세션식별정보 S1에 해당하는 통신장치(300)는 분석 단위 시간마다 한번 이상 목적지 장치에 접속하였다. 세션식별정보 S4에 해당하는 통신장치(600)는 분석 시점부터 71 분석 단위 시간 전에 목적지 주소에 해당하는 외부망 통신 장치에 최초 접속하였다. 그리고 세션식별정보 S4에 해당하는 통신장치(600)는 71 분석 단위 시간 동안 10 분석 단위 시간에만 목적지 장치에 접속하였다. The determination unit 150 analyzes the generation frequency during the detection time as shown in Table 4. The detection time is the time from the first analysis unit time at which the session was created to the analysis time. For example, the communication device 300 corresponding to the session identification information S1 first accesses the destination device 72 analysis units before the analysis time. And the communication device 300 corresponding to the session identification information S1 has connected to the destination device more than once every analysis unit time. The communication device 600 corresponding to the session identification information S4 first accesses the external network communication device corresponding to the destination address 71 seconds before the analysis time from the analysis time. And the communication device 600 corresponding to the session identification information S4 connects to the destination device only for 10 analysis unit hours for 71 analysis unit hours.

세션식별정보Session identification information 탐지 시간
(단위: 분석 단위 시간)Detection time
(Unit: Analysis unit time) 생성 빈도
(단위: 횟수)Generation frequency
(Unit: number of times) 빈도율
(단위: %)Frequency rate
(unit: %) S1S1 7272 7272 100100 S2S2 7171 7171 100100 S3S3 7171 7171 100100 S4S4 7171 1010 1414 S5S5 3030 3030 100100

판단부(150)는 내부망 통신 장치가 세션을 생성할 수 있는 활동 시간을 탐지 시간으로 정할 수 있다. 즉, 내부망 통신 장치는 전원이 꺼진 시간 등의 휴지 시간에 세션을 생성할 수 없다. 따라서, 분석부(130)는 각 내부망 통신 장치의 휴지 시간을 탐지 시간에서 제외할 수 있다. 예를 들어, 세션식별정보 S5에 해당하는 통신장치(500)는 분석 시점부터 72 분석 단위 시간 전에 목적지 장치에 최초 접속하였다. 그러나, 세션식별정보 S5에 해당하는 통신장치(500)는 42 분석 단위 시간 동안 휴지 상태였다. 그러면, 분석부(130)는 세션식별정보 S5의 탐지 시간을 30 분석 단위 시간으로 변경한다. 이를 위해 분석부(130)는 각 내부망 통신 장치의 휴지 시간을 모니터링한다. 분석부(130)는 각 내부망 통신 장치의 패킷 송수신 여부를 모니터링하여 휴지 시간인지 활동 시간인지 판단할 수 있다.The determination unit 150 may determine an activity time at which the internal network communication device can create a session as the detection time. That is, the internal network communication device can not create a session at a pause time such as a power-off time. Therefore, the analyzer 130 can exclude the idle time of each internal network communication device from the detection time. For example, the communication device 500 corresponding to the session identification information S5 initially accesses the destination device 72 analysis units before the analysis time. However, the communication device 500 corresponding to the session identification information S5 was idle for 42 analysis unit hours. Then, the analysis unit 130 changes the detection time of the session identification information S5 to 30 analysis unit time. For this, the analysis unit 130 monitors the pause time of each internal network communication device. The analyzer 130 may monitor whether each internal network communication device transmits or receives a packet to determine whether it is idle time or active time.

판단부(150)는 탐지 시간 동안 각 세션식별정보의 생성 빈도를 기초로 명령제어채널을 탐지한다. 명령제어채널은 일정 기간 동안 주기적으로 생성된다. 따라서, 판단부(150)는 탐지 시간 동안 기준 빈도 이상 생성된 세션을 명령제어채널로 판단할 수 있다. 또는 판단부(150)는 빈도율이 기준 빈도율 이상인 세션을 명령제어채널로 판단할 수 있다. 예를 들어, 탐지 대상 세션 S1, S2, S3, S5를 살펴보면, 분석 시간 단위마다 세션이 생성된 것이므로, 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5를 명령제어채널로 탐지한다. 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5의 목적지 주소를 공격자 장치의 주소로 판단한다. 판단부(150)는 탐지 대상 세션 S1, S2, S3, S5의 출발지 주소를 공격 수행 장치, 즉 감염 장치의 주소로 판단한다. The determination unit 150 detects the command control channel based on the generation frequency of each session identification information during the detection time. The command control channel is periodically generated for a certain period of time. Accordingly, the determination unit 150 can determine a session generated over the reference frequency as the command control channel during the detection time. Alternatively, the determination unit 150 may determine a session whose frequency rate is equal to or greater than the reference frequency rate as an instruction control channel. For example, in the detection target sessions S1, S2, S3, and S5, the determination unit 150 detects the target sessions S1, S2, S3, and S5 as the command control channel . The determination unit 150 determines the destination addresses of the detection target sessions S1, S2, S3, and S5 as the addresses of the attacker apparatuses. The determination unit 150 determines the source address of the detection target sessions S1, S2, S3, and S5 as the address of the attack execution device, that is, the infection device.

판단부(150)는 명령제어채널로 탐지된 세션 정보를 기초로 나머지 세션을 필터링할 수 있다. 예를 들어, 판단부(150)는 공격자 장치의 주소로 판단한 목적지 주소를 포함하는 세션을 명령제어채널로 판단할 수 있다. The determination unit 150 may filter the remaining sessions based on the session information detected by the command control channel. For example, the determination unit 150 may determine a session including a destination address determined as an address of the attacker apparatus as an instruction control channel.

판단부(150)는 각 세션식별정보의 생성 빈도에 관계된 표준편차를 기초로 명령제어채널을 탐지할 수 있다. 어느 세션이 탐지 시간 동안 꾸준히 생성된 경우, 이 세션의 표준편차는 0에 가까운 값을 가진다. 따라서, 판단부(150)는 표준 편차가 0에 가까운 세션을 명령제어채널로 판단할 수 있다.The determination unit 150 may detect the command control channel based on the standard deviation related to the generation frequency of each session identification information. If a session is steadily generated during the detection time, the standard deviation of this session has a value close to zero. Therefore, the determination unit 150 can determine a session whose standard deviation is close to 0 as the command control channel.

도 3은 본 발명의 한 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.3 is a flowchart of an internal network attack detection method according to an embodiment of the present invention.

도 3을 참고하면, 탐지장치(100)는 내부망 통신장치와 외부망 통신장치 사이에 생성되는 세션 정보를 수집한다(S110).Referring to FIG. 3, the detection apparatus 100 collects session information generated between the internal network communication apparatus and the external network communication apparatus (S110).

탐지장치(100)는 출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정한다(S120). 탐지장치(100)는 세션 정보를 기초로 명령제어채널 가능성이 낮은 세션을 탐지 대상 세션에서 제외할 수 있다.The detection apparatus 100 determines a session to be detected by specifying a session to a source and a destination (S120). The detection apparatus 100 can exclude a session with a low possibility of command control channel from the detection target session based on the session information.

탐지장치(100)는 각 분석 단위 시간 동안 각 탐지 대상 세션이 생성됐는지 확인한다(S130). 탐지장치(100)는 분석 단위 시간 동안 한번이라도 탐지 대상 세션이 생성되면 "생성"으로 판단한다.The detection apparatus 100 confirms whether each detection target session is created during each analysis unit time (S130). The detection apparatus 100 judges that it is "generated" when the detection target session is created even once during the analysis unit time.

탐지장치(100)는 탐지 대상 세션별로 탐지 시간 동안의 생성 빈도를 분석한다(S140). 탐지시간은 탐지 대상 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 시간이다. 이때, 탐지장치(100)는 탐지 대상 세션이 생성된 최초 분석 단위 시간부터 분석 시점까지의 전체 시간에서, 각 내부망 통신 장치의 휴지 시간을 제외한 시간을 탐지 시간으로 설정할 수 있다.The detection apparatus 100 analyzes the generation frequency during the detection time for each session to be detected (S140). The detection time is the time from the first analysis unit time that the detection target session was created to the analysis time. At this time, the detection apparatus 100 can set the detection time to the time excluding the pause time of each internal network communication apparatus from the initial analysis unit time from the generation of the detection target session to the analysis time.

탐지장치(100)는 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지한다(S150). 탐지장치(100)는 탐지 시간 동안 기준 빈도 이상 생성된 세션 또는 빈도율이 기준 빈도율 이상인 세션을 명령제어채널로 판단할 수 있다.The detection apparatus 100 detects the command control channel among the detection target sessions based on the generation frequency (S150). The detection apparatus 100 may determine a session that is generated over the reference frequency during the detection time or a session whose frequency rate is equal to or higher than the reference frequency rate as the command control channel.

도 4는 본 발명의 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.4 is a flowchart of an internal network attack detection method according to another embodiment of the present invention.

도 4를 참고하면, 탐지장치(100)는 분석 단위 시간 동안 수집한 세션 정보를 로그 버킷(log bucket)에 수집한다(S210). 로그 버킷은 분석 단위 시간별 로그를 저장하는 저장 단위이다.Referring to FIG. 4, the detection apparatus 100 collects session information collected during an analysis unit time in a log bucket (S210). A log bucket is a unit of storage that stores a log of analysis units per hour.

탐지장치(100)는 로그 버킷(N=n)에 들어있는 세션 정보를 기초로 분석 단위 시간(N=n)에 생성된 세션 목록을 만든다(S220). The detection apparatus 100 creates a session list generated in the analysis unit time (N = n) based on the session information contained in the log bucket (N = n) (S220).

탐지장치(100)는 세션 목록을 기초로 탐지 대상 세션을 결정한다(S230). 탐지 대상 세션은 이전 분석 단위 시간부터 발견된 세션일 수 있고, 현재 분석 단위 시간에 최초로 생성된 세션일 수 있다.The detection apparatus 100 determines a detection target session based on the session list (S230). The detection target session may be a session found from the previous analysis unit time, or may be the session that was first generated at the current analysis unit time.

탐지장치(100)는 각 탐지 대상 세션의 생성 빈도를 증가시킨다(S240).The detection apparatus 100 increases the generation frequency of each detection target session (S240).

탐지장치(100)는 다음 분석 단위 시간(N=n+1)으로 넘어간다(S250). 탐지장치(100)는 다음 로그 버킷(N=n+1)에 들어있는 세션 정보를 기초로 분석 단위 시간(N=n+1)에 생성된 세션 목록을 만든다.The detection apparatus 100 proceeds to the next analysis unit time (N = n + 1) (S250). The detection apparatus 100 creates a session list generated in the analysis unit time (N = n + 1) based on the session information contained in the next log bucket (N = n + 1).

이렇게, 시간이 지남에 따라 각 탐지 대상 세션의 생성 빈도가 누적된다. 그러면, 탐지장치(100)는 각 탐지 대상 세션의 생성 빈도를 기초로 명령제어채널을 탐지한다.As a result, the generation frequency of each session to be detected increases over time. Then, the detection apparatus 100 detects the command control channel based on the generation frequency of each detection target session.

도 5는 본 발명의 또 다른 실시예에 따른 내부망공격 탐지 방법의 흐름도이다.5 is a flowchart of an internal network attack detection method according to another embodiment of the present invention.

도 5를 참고하면, 탐지장치(100)는 분석 단위 시간을 설정한다(S310).Referring to FIG. 5, the detection apparatus 100 sets an analysis unit time (S310).

탐지장치(100)는 탐지 대상 세션별로 탐지 대상 세션이 생성된 분석 단위 시간 수를 누적한다(S320).The detection apparatus 100 accumulates the number of analysis unit hours in which the detection target session is generated for each detection target session (S320).

탐지장치(100)는 탐지 대상 세션별로 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 갱신한다(S330). 탐지장치(100)는 명령제어채널의 접속 주기를 알 수 없다. 따라서, 분석 단위 시간이 접속 주기에 비해 짧으면, 탐지 대상 세션이 드문드문 생성된 것처럼 보일 수 있다. 따라서, 탐지장치(100)는 탐지 시간 동안 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 늘릴 수 있다. 또는 분석 단위 시간이 접속 주기에 비해 너무 길면, 탐지장치(100)는 명령제어채널을 탐지하는 시간이 오래 걸릴 수 있다 따라서, 탐지장치(100)는 탐지 시간 동안 누적된 분석 단위 시간 수를 기초로 분석 단위 시간을 줄일 수 있다.The detection apparatus 100 updates the analysis unit time based on the accumulated analysis unit time count for each session to be detected (S330). The detection apparatus 100 can not know the connection period of the command control channel. Therefore, if the analysis unit time is shorter than the connection period, the session to be detected may appear to be sparse. Thus, the detection apparatus 100 can increase the analysis unit time based on the number of analysis unit hours accumulated during the detection time. Or the analysis unit time is too long relative to the connection period, the detection apparatus 100 may take a long time to detect the command control channel. Thus, the detection apparatus 100 may calculate the detection time based on the number of analysis unit hours accumulated during the detection time The analysis unit time can be reduced.

공격자 장치는 내부망의 공격 대상 장치를 제어하기 위해 반드시 공격 대상 장치와 통신을 해야 한다. 접속 주기와 공격의 정밀성은 트레이드오프(Trade-off) 관계에 있다. 따라서 공격자 장치는 일정 수준 이상의 정밀성을 유지하기 위해 주기적으로 내부망의 공격 대상 장치와 통신을 해야 한다. 공격자 장치가 은닉성을 강화하여 접속 주기를 랜덤하게 혹은 길게 가져갈 수 있다. 이러한 경우에도 탐지장치(100)는 분석 단위 시간을 늘려 지속적인 접속을 파악할 수 있다. The attacker device must communicate with the target device to control the target device of the internal network. The connection cycle and attack precision are in a trade-off relationship. Therefore, the attacker device must periodically communicate with the target device of the internal network in order to maintain a certain level of precision. The attacker device can enhance the concealment and take the connection cycle at random or longer. Even in this case, the detection apparatus 100 can increase the analysis unit time and grasp the continuous connection.

도 6은 본 발명의 한 실시예에 따른 분석 화면의 예시이다.6 is an illustration of an analysis screen according to an embodiment of the present invention.

도 6을 참고하면, 탐지장치(100)는 분석 단위 시간이 1시간인 경우, 시간마다 탐지 대상 세션이 생성됐는지 보여주는 화면(50)을 제공한다. Referring to FIG. 6, the detection apparatus 100 provides a screen 50 showing whether a detection target session is generated every time when the analysis unit time is one hour.

사용자는 화면(50)을 통해 출발지 주소가 192.168.1.245인 장치는 목적지 주소가 74.125.128.101인 장치로 3일 내내 매시간 접속한 것을 알 수 있다. The user can see through the screen 50 that the device with the source address of 192.168.1.245 accesses the device with the destination address of 74.125.128.101 every three days throughout the day.

이와 같이, 본 발명의 실시예에 따르면 알려진 정보를 기반으로 공격자를 탐지하는 방식에서 벗어나, 내부망 공격을 위해 반드시 생성되어야 하는 명령제어채널을 세션 기반으로 탐지하므로, 다양한 방식의 내부망 공격을 탐지할 수 있다. 본 발명의 실시예에 따르면 점점 정교하게 진화하고 있는 내부망 공격 형태에 대해서도 효과적으로 대응할 수 있다. 본 발명의 실시예에 따르면 변형된 공격이나 암호화된 트래픽에 대해서도 탐지할 수 있으므로, 통신 프로토콜에 종속되지 않고 내부망공격을 탐지할 수 있다. As described above, according to the embodiment of the present invention, since the command control channel which must be generated for the internal network attack is detected based on the session based on the detection of the attacker on the basis of known information, can do. According to the embodiment of the present invention, it is possible to effectively cope with an internal network attack pattern that is gradually and gradually evolving. According to the embodiment of the present invention, since it is possible to detect a modified attack or encrypted traffic, it is possible to detect an internal network attack without depending on a communication protocol.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiments of the present invention described above are not implemented only by the apparatus and method, but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

Claims (15)

외부망 통신장치에 의한 내부망 공격을 탐지하는 탐지장치로서,
내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 세션 로그 수집부,
분석 단위 시간을 설정하고, 각 분석 단위 시간에 수집된 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하고, 분석 단위 시간별로 생성된 탐지 대상 세션을 관리하는 분석부, 그리고
분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하고, 각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 판단부를 포함하고,
상기 판단부는 임의 분석 단위 시간에 임의 탐지 대상 세션이 적어도 하나 생성되면, 상기 임의 탐지 대상 세션의 생성 빈도를 증가시키는 내부망공격 탐지장치.A detection device for detecting an internal network attack by an external network communication device,
A session log collecting unit for collecting session information generated between internal network communication devices and external network communication devices,
An analyzing unit for setting an analysis unit time, extracting a detection target session generated at each analysis unit time based on session information collected at each analysis unit time, and managing a detection target session generated for each analysis unit time, and
And a determination unit for accumulating the generation frequencies of the detection target sessions during the detection time composed of the analysis unit times and detecting the command control channel among the detection target sessions based on the generation frequency of each detection target session,
Wherein the determination unit increases the generation frequency of the random detection target session when at least one random detection target session is generated in a random analysis unit time. 제1항에서,
상기 판단부는
상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지장치.The method of claim 1,
The determination unit
A reference frequency is set based on the number of analysis unit time included in the detection time, and a detection target session whose creation frequency is equal to or higher than the reference frequency is detected as an instruction control channel. 제1항에서,
상기 분석부는
세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리하는 내부망공격 탐지장치.The method of claim 1,
The analyzer
An internal network attack detection device for identifying a session based on the source information and the destination information included in the session information, and managing the identified session as a detection target session. 제1항에서,
상기 분석부는
세션 정보를 기초로 식별한 세션을 필터링하여 상기 탐지 대상 세션을 결정하는 내부망공격 탐지장치.The method of claim 1,
The analyzer
And determines the session to be detected by filtering the session identified based on the session information. 제1항에서,
상기 판단부는
제1 분석 단위 시간에 제1 탐지 대상 세션이 생성된 경우, 상기 제1 탐지 대상 세션의 생성 빈도를 증가시키는 내부망공격 탐지장치.The method of claim 1,
The determination unit
And if the first detection target session is generated in the first analysis unit time, increases the generation frequency of the first detection target session. 제5항에서,
상기 판단부는
상기 제1 탐지 대상 세션의 생성 빈도를 기초로 상기 제1 탐지 대상 세션이 일정 개수 이상의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지장치.The method of claim 5,
The determination unit
The method of claim 1, wherein if the first detection target session is continuously generated in a predetermined number or more of consecutive analysis unit times based on the generation frequency of the first detection target session, Attack detection device. 제1항에서,
상기 판단부는
내부망 통신 장치의 활동 시간에 해당하는 분석 단위 시간들로 탐지 시간을 구성하는 내부망공격 탐지장치.The method of claim 1,
The determination unit
An internal network attack detection device that configures a detection time with the analysis unit time corresponding to the activity time of the internal network communication device. 제1항에서,
상기 판단부는
명령제어채널의 세션 정보를 기초로 내부망 공격 명령을 전송하는 외부망 통신장치를 탐지하는 내부망공격 탐지장치.The method of claim 1,
The determination unit
And detecting an external network communication device transmitting an internal network attack command based on session information of the command control channel. 내부망공격 탐지장치가 외부망 통신장치에 의한 내부망 공격을 탐지하는 방법으로서,
내부망 통신장치들과 외부망 통신장치들 사이에 생성되는 세션 정보를 수집하는 단계,
출발지와 목적지로 세션을 특정하여 탐지 대상 세션을 결정하는 단계, 그리고
각 탐지 대상 세션이 주기적으로 생성되는지 판단하여, 탐지 대상 세션들 중에서 명령제어채널을 탐지하는 단계를 포함하고,
상기 명령제어채널을 탐지하는 단계는
각 분석 단위 시간 동안 각 탐지 대상 세션의 생성 여부를 기초로 각 탐지 대상 세션이 주기적으로 생성되는지 판단하고, 주기적으로 생성되는 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지방법.A method for detecting an internal network attack by an external network communication apparatus,
Collecting session information generated between internal network communication devices and external network communication devices,
Determining a session to be detected by specifying a session as a source and a destination, and
Determining whether each session to be detected is periodically generated, and detecting an instruction control channel among the sessions to be detected,
The step of detecting the command control channel
Determining whether each detection target session is periodically generated based on whether each detection target session is created during each analysis unit time, and detecting a periodically generated detection target session with an instruction control channel. 삭제delete 제9항에서,
상기 명령제어채널을 탐지하는 단계는
분석 단위 시간을 설정하는 단계,
각 분석 단위 시간에 수집한 세션 정보를 기초로 각 분석 단위 시간에 생성된 탐지 대상 세션을 추출하는 단계,
분석 단위 시간들로 구성된 탐지 시간 동안 각 탐지 대상 세션의 생성 빈도를 누적하는 단계, 그리고
각 탐지 대상 세션의 생성 빈도를 기초로 탐지 대상 세션들 중에서 명령제어채널을 추출하는 단계
를 포함하는 내부망공격 탐지방법.The method of claim 9,
The step of detecting the command control channel
Setting an analysis unit time,
Extracting a detection target session generated in each analysis unit time based on the session information collected in each analysis unit time,
Accumulating the generation frequency of each detection target session during the detection time composed of the analysis unit times, and
Extracting an instruction control channel from the detection target sessions based on the generation frequency of each detection target session
And detecting an internal network attack. 제11항에서,
상기 명령제어채널을 추출하는 단계는
상기 탐지 시간에 포함된 분석 단위 시간 수를 기초로 기준 빈도를 설정하고, 생성 빈도가 상기 기준 빈도 이상인 탐지 대상 세션을 명령제어채널로 추출하는 내부망공격 탐지방법.12. The method of claim 11,
The step of extracting the command control channel
And setting a reference frequency based on the number of analysis unit time included in the detection time and extracting a detection target session having a generation frequency equal to or higher than the reference frequency as an instruction control channel. 제11항에서,
각 탐지 대상 세션의 생성 빈도를 기초로 분석 단위 시간을 갱신하는 단계
를 더 포함하는 내부망공격 탐지방법.12. The method of claim 11,
Updating the analysis unit time based on the generation frequency of each detection target session
Further comprising detecting an internal network attack. 제9항에서,
상기 탐지 대상 세션을 결정하는 단계는
세션 정보에 포함된 출발지 정보와 목적지 정보를 기초로 세션을 식별하고, 식별한 세션을 탐지 대상 세션으로 관리하는 내부망공격 탐지방법.The method of claim 9,
The step of determining the session to be detected
A method for detecting an internal network attack in which a session is identified based on source information and destination information included in the session information, and the identified session is managed as a detection target session. 제9항에서,
상기 명령제어채널을 탐지하는 단계는
제1 탐지 대상 세션이 일정 갯수의 연속된 분석 단위 시간들에서 연속적으로 생성된 경우, 상기 제1 탐지 대상 세션을 명령제어채널로 탐지하는 내부망공격 탐지방법.The method of claim 9,
The step of detecting the command control channel
And detecting the first detection target session as a command control channel when the first detection target session is continuously generated in a predetermined number of consecutive analysis unit times.
KR1020130084983A 2013-04-23 2013-07-18 Apparatus and method for detecting local network attacks KR101464367B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20130045028 2013-04-23
KR1020130045028 2013-04-23

Publications (2)

Publication Number Publication Date
KR20140126651A KR20140126651A (en) 2014-10-31
KR101464367B1 true KR101464367B1 (en) 2014-11-25

Family

ID=51995858

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130084983A KR101464367B1 (en) 2013-04-23 2013-07-18 Apparatus and method for detecting local network attacks

Country Status (1)

Country Link
KR (1) KR101464367B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102037192B1 (en) * 2018-01-03 2019-10-29 주식회사 윈스 Device and method for continuous signal traffic detection of network traffic through hierarchical structure learning
CN111565202B (en) * 2020-07-15 2020-10-27 腾讯科技(深圳)有限公司 Intranet vulnerability attack defense method and related device
KR102469399B1 (en) * 2021-09-10 2022-11-21 숭실대학교산학협력단 Attack detection system of can network, attack detection method of can network and computer program stored in a recording medium to execute the method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050090640A (en) * 2004-03-09 2005-09-14 유넷시스템주식회사 A system and method for analyzing harmful traffic
KR101253615B1 (en) * 2011-10-31 2013-04-11 한국인터넷진흥원 Security system on 3g wcdma networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050090640A (en) * 2004-03-09 2005-09-14 유넷시스템주식회사 A system and method for analyzing harmful traffic
KR101253615B1 (en) * 2011-10-31 2013-04-11 한국인터넷진흥원 Security system on 3g wcdma networks

Also Published As

Publication number Publication date
KR20140126651A (en) 2014-10-31

Similar Documents

Publication Publication Date Title
US11075885B2 (en) Methods and systems for API deception environment and API traffic control and security
Wu et al. An effective architecture and algorithm for detecting worms with various scan techniques
US8046833B2 (en) Intrusion event correlation with network discovery information
US8079080B2 (en) Method, system and computer program product for detecting security threats in a computer network
US9060019B2 (en) Out-of band IP traceback using IP packets
RU2480937C2 (en) System and method of reducing false responses when detecting network attack
CN108270722B (en) Attack behavior detection method and device
CN111010409B (en) Encryption attack network flow detection method
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
EP3066608A1 (en) Context-aware network forensics
EP1454468A1 (en) Heuristic profiler for packet screening
CN108616488B (en) Attack defense method and defense equipment
JP2010198386A (en) Illegal access monitoring system and illegal access monitoring method
KR101464367B1 (en) Apparatus and method for detecting local network attacks
Govil et al. Criminology of botnets and their detection and defense methods
Affinito et al. The evolution of Mirai botnet scans over a six-year period
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
KR20120000942A (en) Bot-infected host detection apparatus and method based on blacklist access statistics
KR100983549B1 (en) System for defending client distribute denial of service and method therefor
Devi et al. Cloud-based DDoS attack detection and defence system using statistical approach
Thing et al. Locating network domain entry and exit point/path for DDoS attack traffic
Wendzel et al. Preventing protocol switching covert channels
JP4661554B2 (en) Unauthorized access detection method, apparatus and program
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
KR101686472B1 (en) Network security apparatus and method of defending an malicious behavior

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171101

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181114

Year of fee payment: 5