KR101499470B1 - Advanced Persistent Threat attack defense system and method using transfer detection of malignant code - Google Patents

Advanced Persistent Threat attack defense system and method using transfer detection of malignant code Download PDF

Info

Publication number
KR101499470B1
KR101499470B1 KR20140128975A KR20140128975A KR101499470B1 KR 101499470 B1 KR101499470 B1 KR 101499470B1 KR 20140128975 A KR20140128975 A KR 20140128975A KR 20140128975 A KR20140128975 A KR 20140128975A KR 101499470 B1 KR101499470 B1 KR 101499470B1
Authority
KR
South Korea
Prior art keywords
abnormal behavior
group
security level
inbound
apt
Prior art date
Application number
KR20140128975A
Other languages
Korean (ko)
Inventor
남기효
Original Assignee
(주)유엠로직스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유엠로직스 filed Critical (주)유엠로직스
Priority to KR20140128975A priority Critical patent/KR101499470B1/en
Application granted granted Critical
Publication of KR101499470B1 publication Critical patent/KR101499470B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an advanced persistent threat (APT) attack defense system using detection of a malicious code and a method thereof, more particularly, to an APT attack defense system using detection of a malicious code which sets up a group with respect to users who want to defend APT attack based on a predetermined security level, determines the existence of APT attack by detecting an abnormal activity using the inbound packets received at the groups through communications toward an internal network from an external network. The APT attack defense system comprises: a packet analysis unit (100) which analyzes information about received inbound packets and classifies the packets by group; an abnormal activity determination unit (200) which determines whether an abnormal activity exists or not by comparing the information about the inbound packet by group analyzed in the packet analysis unit (100) with predetermined abnormal activity information; and a transfer detection and central processing unit (300) which determines whether a transfer of the abnormal activity between groups or an APT attack exists according to the result from the abnormal activity determination unit (200) and controls communications access.

Description

악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법{Advanced Persistent Threat attack defense system and method using transfer detection of malignant code}TECHNICAL FIELD [0001] The present invention relates to an APT attack defense system and a defense method thereof using a malicious code transition detection method,

본 발명은 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법에 관한 것으로, 더욱 상세하게는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 악성코드 침투와 백도어 통신에 의한 악성코드 업데이트 등에 의해 조직 내(인바운드 통신)에서 악성코드의 감염이 전이되는 현상을 탐지하여 APT 공격을 효율적으로 방어할 수 있는 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법에 관한 것이다.
The present invention relates to an APT attack defense system and a defense method thereof using malicious code transition detection, and more particularly, to an APT attack defense system using an APT (Advanced Persistent Threat) attack and malicious code update by backdoor communication The present invention relates to an APT attack defense system and a defense method thereof using malicious code transition detection capable of effectively preventing an APT attack by detecting a transition of an infection of a malicious code within an organization (inbound communication).

사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다.Cyber attacks are organized and intelligent. Especially, APT (Intelligent Sustainable Threat) attack, which is a hacking organization for economic purposes and conducts covert and continuous intelligent attacks on specific attack targets, And it is becoming a serious social problem.

다시 말하자면, APT 공격은 표적형 공격으로, 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직(공격자 조직)이 공격 대상 조직(표적 조직)을 특정화하여 은밀하고 지능적이며, 장기적으로 공격 대상 조직에 대해 사이버 공격을 가하면서 지속적으로 공격 대상 조직으로부터 중요한 정보를 불법적으로 유출하는 공격 방법이다.In other words, APT attacks are targeted attacks. In order to illegally extract important information of an organization, a hacker or a hacking organization (attacking organization) specifies the target organization (target organization) to be secretive and intelligent, The attacker continuously attacks the target organization illegally.

일 예를 들자면, APT 공격은 크게 악성코드의 침투(1단계), 백도어 통신에 의한 악성코드 업데이트(2단계), 중요정보의 유출(3단계) 등으로 수행되며, 공격자 조직은 중요정보를 유출시키기 위해 내, 외부에서 지속적으로 공격 대상 조직의 다양한 보안 취약점을 수집 및 활용하여 접근한다.For example, APT attacks are largely performed by infiltration of malicious code (step 1), malicious code update by backdoor communication (step 2), and leakage of important information (step 3) , It collects and utilizes various security vulnerabilities of the target organization continuously from inside and outside.

일반적으로, 중요정보를 저장하고 있는 데이터베이스 서버는 다양한 보안기능을 적용하여 보호되고 있으므로 공격자 조직이 이러한 데이터베이스 서버를 직접 공격하는 것을 거의 불가능한 일이다. 이에 따라, APT 공격에서는 중요한 접근권한을 가지고 있니 않으나 보안 상 취약한 호스트를 특정하고, 우선 공격하여 악성코드를 침투시키고 이를 기반으로 변종의 악성코드로 업데이트하면서 공격 대상 조직 내 다른 호스트들을 점차 감염시켜 악성코드를 전이 및 확산시키고 궁극적으로 원하는 중요한 정보에 대한 접근 권한을 획득함으로써, 목표로 하는 중요정보를 획득하는 것이 특징이다.
In general, the database server storing sensitive information is protected by applying various security functions, so it is almost impossible for an attacker organization to directly attack such a database server. Therefore, it does not have important access right in APT attack, but it identifies security vulnerable host, attacks first, infects malicious code, and updates it with malicious code of variant based on it. It is characterized by acquiring critical information of interest by transferring and spreading the code and ultimately gaining access to important information desired.

이러한 문제점을 해결하기 위하여,In order to solve this problem,

종래에는 조직 내 모든 인바운드 패킷(inbound packet)을 검사하여 악성코드 자체의 행위만을 분석하여 악성여부를 판단하였으며, 이러한 경우, 조직 내 해당 호스트 구분없이 인입되는 코드의 행위 자체의 악성여부를 판단하게 된다.Conventionally, all inbound packets in the organization are examined to determine whether the malicious code itself is malicious by analyzing only the behavior of the malicious code itself. In this case, maliciousness of the behavior of the incoming code is discriminated .

특히, 악성여부를 정확히 판단하기 위해 정밀한 검사가 불가피하여 조직 내 모든 인바운드 패킷을 어플라이언스 보안장비가 검사하는데 많은 성능 제약이 문제가 되고 있다.Especially, it is inevitable to conduct precise inspections in order to accurately judge whether or not it is malicious. Therefore, there are many performance constraints in the inspection of all inbound packets in the organization by the appliance security equipment.

허나, 일반적인 악성코드에 의한 호스트 감염은 조직 내 인바운드를 검사하는 어플라이언스에서 검사할 필요 없이 각 호스트 내에서 바이러스 백신을 이용하는 것으로 충분히 해결되며, APT 공격은 조직에 대한 공격이므로 이러한 특성에 대응하는 적절한 대응방법을 적용하여야 함에도 현재까지 APT 공격의 대응방법은 개별 호스트에 대한 인바운드 패킷 검사에 의한 악성여부 판단으로 탐지하는 문제점이 있다.
However, host infections by common malicious code are resolved by using antivirus within each host, without the need to scan from an appliance that inspects inbound organizations, and APT attacks are attacks against the organization, so appropriate responses Method, APT attacks have a problem of detecting maliciousness by inbound packet inspection for individual hosts.

국내등록특허 제10-0684602호("세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및 그 방법", 이하 선행문헌 1)에서는 외부 네트워크와 내부 네트워크 사이에 인라인 모드(In-line)로 삽입되는 침입대응시스템의 침입 탐지 방법과 대응 방법을 개시하고 있다.
In Korean Patent No. 10-0684602 (" Scenario-based Intrusion Response System and Method Therefor Using Session State Transition ", hereinafter referred to as Prior Art 1), an intrusion response inserted in-line between an external network and an internal network Discloses an intrusion detection method and a corresponding method of a system.

국내등록특허 제10-0684602호 (등록일자 2007.02.13.)Korean Registered Patent No. 10-0684602 (Registered on Feb. 23, 2007)

본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 악성코드 침투와 백도어 통신에 의한 악성코드 업데이트 등에 의해 조직 내(인바운드 통신)에서 악성코드의 감염이 전이되는 현상을 탐지하여 APT 공격을 효율적으로 방어할 수 있는 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법을 제공하는 것이다.
SUMMARY OF THE INVENTION The present invention has been made in order to solve the problems of the prior art as described above, and it is an object of the present invention to provide a method and apparatus for preventing malicious code infiltration by APT (Advanced Persistent Threat) attack and malicious code update by backdoor communication The present invention provides an APT attack defense system and a defense method thereof using malicious code transition detection that can effectively prevent an APT attack by detecting a transition of an infection of a malicious code in an organization (inbound communication).

본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템은, 기설정된 보안 레벨(security level)을 기반으로 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격을 방어하고자 하는 이용자에 대해 그룹을 설정하고, 상기 그룹들로 수신되는 외부 네트워크에서 내부 네트워크로의 통신에 의한 인바운드 패킷을 이용하여 이상 행위를 탐지하여 APT 공격 여부를 판단하는 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템에 있어서, 수신되는 상기 인바운드 패킷의 정보를 분석하며, 그룹별로 분류하는 패킷 분석부(100), 상기 패킷 분석부(100)에서 분석한 그룹별 상기 인바운드 패킷의 정보와 기설정된 이상 행위 정보를 비교하여, 그룹별 이상 행위 여부를 판단하는 이상 행위 판단부(200) 및 상기 이상 행위 판단부(200)에 의한 그룹별 이상 행위 여부 결과에 따라, 그룹간 이상 행위의 전이 및 APT 공격 여부를 판단하여 통신 접속을 제어하는 전이 탐지 및 중앙 처리부(300)를 포함하여 구성되는 것을 특징으로 한다.The APT attack defense system using malicious code transition detection according to an exemplary embodiment of the present invention is a system in which a user who intends to defend against an APT (Advanced Persistent Threat) attack based on a predetermined security level And an APT attack defense system using malicious code transition detection for detecting an abnormal behavior by using an inbound packet communicated from an external network to an internal network received in the groups and determining whether the attack is an APT attack, A packet analysis unit 100 for analyzing the information of the inbound packet and classifying the inbound packet information according to the group, and comparing the information of the inbound packet for each group analyzed by the packet analyzing unit 100 with predetermined abnormal behavior information, An abnormal behavior judging unit 200 for judging whether an abnormal behavior has occurred or not, Depending on the part result, it is characterized in that comprises a transition detection and the central processing unit 300 that controls the communication connection to determine the transition and APT attacks in behavior over to other groups.

이 때, 상기 전이 탐지 및 중앙 처리부(300)는 상기 이상 행위 판단부(200)의 그룹별 이상 행위 여부 판단에 따라, 이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹의 이상 행위 여부를 판단하여 그룹간 이상 행위의 전이여부를 판단하는 것을 특징으로 한다.At this time, the transition detection and central processing unit 300 determines whether the abnormal behavior of the group having the security level higher than the security level of the group having the abnormal behavior, And judges whether or not the inter-group abnormal behavior is transferred.

또는, 상기 전이 탐지 및 중앙 처리부(300)는 상기 이상 행위 판단부(200)의 그룹별 이상 행위 여부 판단에 따라, 이상 행위가 있는 그룹의 보안 레벨이 기설정된 보안 레벨 이상일 경우, APT 공격으로 판단하는 것을 특징으로 한다.Alternatively, the transition detection and central processing unit 300 may determine that the APT attack is detected when the security level of the group having the abnormal action is equal to or higher than the preset security level, .

더 나아가, 상기 전이 탐지 및 중앙 처리부(300)는 그룹간 이상 행위의 전이 또는 APT 공격으로 판단될 경우, 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 기설정된 보안정책에 따라 정밀 탐지를 수행하는 것을 특징으로 한다.
In addition, when the transition detection and central processing unit 300 determines that an inter-group anomaly is a transition or an APT attack, the transition detection and central processing unit 300 blocks the inbound communication by the inbound packet including the anomaly action, Thereby performing detection.

본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법은, 기설정된 보안 레벨(security level)을 기반으로 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격을 방어하고자 하는 이용자에 대해 그룹을 설정하고, 외부 네트워크에서 내부 네트워크로의 인바운드 통신을 위한 인바운드 패킷이 상기 그룹들로 수신되는 정보 수신 단계(S100), 패킷 분석부에서 상기 정보 수신 단계(S100)에 의해 수신된 상기 인바운드 패킷에 포함되어 있는 고유 정보를 분석하고, 그룹별로 다시 분류하는 정보 분석 및 그룹별 분류 단계(S200), 이상 행위 판단부에서 상기 정보 및 그룹별 분류 단계(S300)에 의해 분석한 그룹별 상기 인바운드 패킷의 고유 정보와 기설정된 이상 행위 정보를 비교하여, 그룹별 이상 행위 여부를 판단하는 이상 행위 판단 단계(S300) 및 전이 탐지 및 중앙 처리부에서 상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 그룹간 이상 행위의 전이 및 APT 공격으로 판단될 경우, 인바운드 통신을 제어하는 통신 제어 단계(S500)로 이루어지며, 전이 탐지 및 중앙 처리부에서 상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 그룹간 이상 행위의 전이 및 APT 공격으로 판단되지 않을 경우, 인바운드 통신을 유지하는 통신 유지 단계(S400)를 수행하는 것을 특징으로 한다.The APT attack defense method using malicious code transition detection according to an exemplary embodiment of the present invention is a method for protecting an APT (Advanced Persistent Threat) attack based on a predetermined security level, (S100) in which an inbound packet for inbound communication from an external network to an internal network is received by the groups, a packet analyzing unit for analyzing the inbound packet received by the packet analyzing unit Analyzing information included in the inbound packet and analyzing the unique information included in the inbound packet and classifying the classified informa- tion into groups; An abnormal behavior determination step (S300) of comparing the unique information with the predetermined abnormal behavior information and determining whether the abnormal behavior is per group, And a communication control step (S500) of controlling the inbound communication when it is determined in the detection and central processing unit that the transition of the inter-group abnormal behavior and the APT attack is determined according to the determination result of the abnormal behavior determination step (S300) (S400) for maintaining the inbound communication when the detection and central processing unit does not determine the transition of the inter-group abnormal behavior and the APT attack according to the determination result of the abnormal behavior determination step (S300) .

이 때, 상기 통신 제어 단계(S500)는 상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨이 기설정된 보안 레벨 이상인지 판단하는 보안 레벨 판단 단계(S510) 및 상기 보안 레벨 판단 단계(S510)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨이 기설정된 보안 레벨 이상일 경우, APT 공격으로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 기설정된 보안 정책에 따라 정밀 탐지를 수행하는 제 1 보안 단계(S520)를 수행하거나,In this case, the communication control step (S500) may include a security level determination step (S510) of determining whether the security level of the group having the abnormal behavior is equal to or greater than a predetermined security level, according to the determination result of the abnormal behavior determination step (S300) According to the determination result of the security level determination step (S510), if the security level of the group having the abnormal action is equal to or higher than the preset security level, the APD server determines that the APT attack is occurred and blocks the inbound communication based on the inbound packet , Performing a first security step (S520) for performing fine detection according to a predetermined security policy,

상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹의 이상 행위 여부를 다시 한번 판단하여 그룹간 이상 행위 전위 여부를 판단하는 전이 여부 판단 단계(S530) 및 상기 전이 여부 판단 단계(S530)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹의 이상 행위가 있을 경우, 그룹간 이상 행위의 전이로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 기설정된 보안 정책에 따라 정밀 탐지를 수행하는 제 2 보안 단계(S540)를 수행하는 것을 특징으로 한다.
According to the determination result of the abnormal behavior determination step (S300), it is determined once again whether or not the group having a security level higher than the security level of the group having the abnormal behavior is judged, If there is an abnormal behavior in the group having a security level higher than the security level of the group having the abnormal behavior according to the result of the determination in step S530 and the transition determination step S530, A second security step (S540) of blocking inbound communication by the inbound packet including an abnormal operation and performing fine detection according to a pre-established security policy.

상기와 같은 구성에 의한 본 발명의 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법은 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격에 의한 악성코드 침투와 백도어 통신에 의한 악성코드 업데이트 등에 의해 조직 내(인바운드 통신)에서 악성코드의 감염이 전이되는 현상을 탐지하여 APT 공격을 효율적으로 방어할 수 있는 특징이 있다.The APT attack defense system and the defense method using the malicious code transition detection according to the present invention having the above-described structure can be implemented by the malicious code infiltration by the APT (Advanced Persistent Threat) attack and the malicious code update by the backdoor communication There is a feature that it can effectively prevent APT attacks by detecting the transition of malicious code infection in the organization (inbound communication).

다시 말하자면, 인바운드 패킷에 대한 정밀 악성행위 탐지가 아닌 보안레벨에 따라 공격 대상 조직(APT 공격을 방어하고자 하는 이용자들)을 그룹화한 후, 그룹별 인바운드 패킷의 이상 행위를 판단하여 그룹간 이상 행위가 전이되는 것을 탐지함으로써, 기준의 모든 인바운드 패킷의 정밀 악성행위 탐지로 인한 동일코드의 중복된 분석과 모든 패킷 탐지에 따른 검사 성능 문제를 해결할 수 있는 장점이 있다.In other words, after grouping attack target organization (users who want to defend APT attack) according to security level rather than fine malicious activity detection for inbound packet, it is judged abnormal behavior of inbound packet per group, By detecting the transition, it is possible to solve duplicate analysis of the same code due to the detection of precise malicious behavior of all the inbound packets of the standard, and to solve the inspection performance problem due to the detection of all the packets.

또한, 보안레벨이 낮은 그룹들의 전이를 사전에 탐지할 수 있으, 향후 보다 높은 보안레벨을 갖는 그룹들의 악성코드 전이를 예측하여 보다 능동적이고 신속하여 APT 공격을 방어할 수 있는 효과가 있다.In addition, it is possible to detect the transition of groups with low security level in advance, and anticipate the malicious code transition of groups having higher security level in the future, thereby being able to protect APT attack more actively and promptly.

이에 따라, APT 공격에 의해 중요정보가 유출되는 것을 예방할 수 있는 효과가 있다.
Accordingly, it is possible to prevent the leakage of important information due to the APT attack.

도 1은 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템을 간략하게 나타낸 도면이다.
도 2 및 도 3은 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템을 나타낸 예시도이다.
도 4는 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법을 나타낸 순서도이다.
도 5는 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법의 통신 제어 단계(S500)를 상세하게 나타낸 제 1 실시예이다.
도 6은 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법의 통신 제어 단계(S500)를 상세하게 나타낸 제 2 실시예이다.FIG. 1 is a schematic view of an APT attack defense system using malicious code transition detection according to an embodiment of the present invention. Referring to FIG.
2 and 3 are views illustrating an APT attack defense system using malicious code transition detection according to an exemplary embodiment of the present invention.
4 is a flowchart illustrating an APT attack defense method using malicious code transition detection according to an embodiment of the present invention.
FIG. 5 is a block diagram illustrating a communication control step (S500) of the APT attack defense method using malicious code transition detection according to an embodiment of the present invention in detail.
FIG. 6 is a second embodiment of the communication control step (S500) of the APT attack defense method using malicious code transition detection according to an embodiment of the present invention in detail.

이하 첨부한 도면들을 참조하여 본 발명의 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an APT attack defense system and a defense method thereof using malicious code transition detection according to the present invention will be described in detail with reference to the accompanying drawings. The following drawings are provided by way of example so that those skilled in the art can fully understand the spirit of the present invention. Therefore, the present invention is not limited to the following drawings, but may be embodied in other forms. In addition, like reference numerals designate like elements throughout the specification.

이 때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.In this case, unless otherwise defined, technical terms and scientific terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. In the following description and the accompanying drawings, A description of known functions and configurations that may unnecessarily obscure the description of the present invention will be omitted.

더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
In addition, a system refers to a collection of components, including devices, mechanisms, and means that are organized and regularly interact to perform the required function.

본 발명의 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법은 종래의 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격 탐지의 비효율적인 문제를 해결하기 위한 것으로,The APT attack defense system and the defense method using the malicious code transition detection of the present invention are intended to solve the ineffective problem of the conventional APT (Advanced Persistent Threat) attack detection,

종래의 APT 공격 탐지 방법으로는 인바운드 통신에 대해 목적 호스트 구별 없이 조직 내 모든 인바운드 패킷의 악성행위 탐지만을 수행하는 것과는 달리,Unlike conventional APT attack detection method, inbound communication is only performed to detect malicious behavior of all inbound packets in an organization without distinction of destination host,

본 발명의 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법은 조직 내 인바운드 패킷 검사 시 목적 호스트를 구별하고, 이를 기반으로 각 코드 별 이상 행위 구분 및 이상 행위의 유사도를 기반으로 한 조직 내 악성코드 전이를 모두 고려하여 APT 공격을 탐지하여 APT 공격을 방어할 수 있는 방어 시스템 및 그 방어 방법에 관한 것이다.
The APT attack defense system and its defense method using the malicious code transition detection of the present invention distinguishes the target host when the inbound packet inspection is performed in the organization, and based on the identification, The present invention relates to a defensive system and a defensive method capable of preventing an APT attack by detecting an APT attack considering all malicious code transition.

도 1 내지 도 3은 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템을 나타낸 도면이다. 도 1 내지 도 3을 참조로 하여 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템을 상세히 설명한다.
1 to 3 are views showing an APT attack defense system using malicious code transition detection according to an embodiment of the present invention. 1 to 3, an APT attack defense system using malicious code transition detection according to an embodiment of the present invention will be described in detail.

본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템은 도 1에 도시된 바와 같이, 패킷 분석부(100), 이상 행위 판단부(200), 전이 탐지 및 중앙 처리부(300)를 포함하여 구성될 수 있다.1, the APT attack defense system using malicious code transition detection according to an embodiment of the present invention includes a packet analysis unit 100, an abnormal behavior determination unit 200, a transition detection and central processing unit 300, As shown in FIG.

본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템은 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격을 방어하고자 하는 이용자에 대해 그룹을 설정하고, 상기 그룹들로 수신되는 외부 네트워크에서 내부 네트워크로의 통신에 의한 인바운드 패킷을 이용하여 이상 행위를 탐지하여 APT 공격 여부를 판단하게 된다.The APT attack defense system using the malicious code transition detection according to an embodiment of the present invention sets a group for a user who wants to defend against an APT (Advanced Persistent Threat) attack, An inbound packet by communication to the internal network is used to detect an abnormal behavior and determine whether or not the APT attack occurs.

상세하게는, APT 공격을 방어하고자 하는 이용자(이용자 그룹)의 호스트를 미리 설정된 보안 레벨(security level)을 기반으로 그룹을 설정하고, 상기 그룹들로 수신되는 인바운드 패킷을 검사하여 각 그룹별(호스트별) 이상 행위를 탐지하게 된다. 여기서, 미리 설정된 보안 레벨이란, APT 공격을 방어하고자 하는 이용자(호스트) 별로 설정되어 있는 보안 레벨을 의미하며 이용자가 구비하고 있는 다양한 단말기에 각각 상이하게 보안 레벨이 설정될 수 있어, 이 경우 하나의 이용자가 다양한 보안 레벨 기반의 다양한 그룹에 속하게 된다.Specifically, a group of a user (user group) who wishes to defend against an APT attack is set on the basis of a security level set in advance, and the inbound packets received in the groups are examined to determine a group Star) abnormal behavior. Here, the preset security level means a security level set for each user (host) who wants to prevent an APT attack, and a different security level can be set for each of various terminals provided by the user. In this case, The user belongs to various groups based on various security levels.

이에 따라, APT 공격을 방어하고자 하는 이용자에 한정되는 것이 아니라, APT 공격을 방어하고자 하는 조직을 그룹으로 나누는 것으로 보는 것이 바람직하다.
Accordingly, the present invention is not limited to the users who want to protect the APT attack, but it is preferable to divide the organizations that want to defend the APT attack into groups.

각 구성에 대해서 자세히 알아보자면,To learn more about each configuration,

상기 패킷 분석부(100)는 그룹별 수신되는 상기 인바운드 패킷의 정보를 분석하고, 상기 인바운드 패킷의 정보를 그룹별로 분류할 수 있다.The packet analyzer 100 analyzes information of the inbound packets received by each group and classifies information of the inbound packets into groups.

상기 패킷 분석부(100)는 그룹별 수신되는 모든 인바운드 패킷의 정보를 분석하여 각 그룹별(호스트별) 행위 탐지를 수행한다.
The packet analyzing unit 100 analyzes information of all inbound packets received by each group and performs behavior detection for each group (per host).

상기 이상 행위 판단부(200)는 상기 패킷 분석부(100)에서 분석한 그룹별 상기 인바운드 패킷의 정보와 미리 설정된 이상 행위 정보가 매칭되는지 비교하여, 그룹별 이상 행위 여부를 판단할 수 있다.
The abnormal behavior determiner 200 may compare the information of the inbound packets analyzed by the packet analyzer 100 with predetermined abnormal behavior information to determine whether the abnormal behavior is per group.

일 예를 들자면, 미리 설정된 이상 행위 정보가 '인터넷 접속 후 파일 다운로드', '디스크에 파일을 작성', '레지스트리에 정보 기록', '시작 프로그램에 등록 후 레지스트리에 서비스 등록', '특정 포트 오픈', '자가 복제 후 자가 삭제', '특정 파일 숨김으로 설정', '특정 프로세스 실행' 등과 같은 행위로 설정할 경우,For example, the preset abnormal behavior information may be 'download file after Internet connection', 'write file to disk', 'record information in registry', 'register service in registry after registering in startup program' ',' Delete self after clone ',' set to hide specific file ',' execute specific process'

상기 이상 행위 판단부(200)는 상기 패킷 분석부(100)에서 분석한 그룹별 상기 인바운드 패킷의 정보가 상술한 모든 행위와 매칭되거나, 일부 매칭될 경우, 해당하는 인바운드 패킷이 수신된 모든 그룹이 이상 행위가 있음을 판단하게 된다.When the information of the inbound packet analyzed by the packet analyzing unit 100 matches or partially matches all the actions described above, the abnormal behavior determining unit 200 determines that all the groups in which the corresponding inbound packet is received It is judged that there is an abnormal behavior.

즉, 상기 이상 행위 판단부(200)는 상기 패킷 분석부(100)에서 분석한 그룹별 상기 인바운드 패킷의 정보가 미리 설정된 이상 행위 정보와 매칭되는지 비교하여, 특정 그룹(호스트)에 인바운드 패킷이 수신되어 수신된 패킷의 행위의 이상 여부를 판단하게 된다.
That is, the abnormal behavior determination unit 200 compares the information of the inbound packets analyzed by the packet analyzing unit 100 with the predetermined abnormal behavior information to determine whether an inbound packet is received in a specific group (host) And judges whether there is an abnormality in the behavior of the received packet.

상기 전이 탐지 및 중앙 처리부(300)는 상기 이상 행위 판단부(200)에 의한 그룹별 이상 행위 여부 결과에 따라, 그룹간 이상 행위의 전이 및 APT 공격 여부를 판단하여 통신 접속을 제어할 수 있다.The transition detection and central processing unit 300 may control the communication connection by determining whether the abnormal behavior of the group is abnormal or APT attack according to the result of the abnormal behavior determination by the abnormal behavior determination unit 200. [

상기 전이 탐지 및 중앙 처리부(300)는 그룹간 이상 행위의 전이 및 APT 공격으로 판단될 경우, 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 미리 설정된 보안 정책에 이상 행위가 포함되는 상기 인바운드 패킷을 수신한 그룹의 정밀 탐지를 수행할 수 있다.
When the transit detection and central processing unit 300 determines that the inter-group abnormal behavior transition and the APT attack are detected, the transition detection and central processing unit 300 blocks the inbound communication by the inbound packet including the abnormal behavior, Thereby performing fine detection of the group receiving the inbound packet.

상세하게는, 상기 전이 탐지 및 중앙 처리부(300)는 상기 이상 행위 판단부(200)로부터 그룹별 인바운드 패킷의 정보가 이상 행위가 있는 것으로 판단될 경우, 그룹간 이상 행위 전이 및 APT 공격 여부를 판단하게 된다.In more detail, when the information on the inbound packets per group is judged to be abnormal by the abnormal behavior judging unit 200, the transition detection and central processing unit 300 judges whether the inter-group abnormal behavior transition and the APT attack .

즉, 상기 전이 탐지 및 중앙 처리부(300)는 상기 이상 행위 판단부(200)의 그룹별 이상 행위 여부 판단에 따라, 이상 행위가 있는 것으로 판단될 경우,That is, the transition detection and central processing unit 300, when it is determined that the abnormal behavior determination unit 200 has an abnormal behavior,

이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹들의 이상 행위 여부를 판단하여 그룹간 이상 행위 전이여부를 판단하게 된다.It is judged whether or not the group having the security level higher than the security level of the group having the abnormal behavior is abnormal or not and it is judged whether or not the group abnormal behavior is transferred.

이에 따라 높은 보안 레벨을 갖는 그룹들 또한 동일한 이상 행위 여부가 나타날 경우, 그룹간 이상 행위 전이여부가 있는 것으로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 미리 설정된 보안 정책에 이상 행위가 포함되는 상기 인바운드 패킷을 수신한 그룹의 정밀 탐지를 수행할 수 있다.Accordingly, when groups having a high security level show the same abnormal behavior, it is determined that there is a transition between groups of abnormal behavior, and inbound communication by the inbound packet including an abnormal behavior is blocked, It is possible to perform the precise detection of the group receiving the inbound packet including the abnormal behavior.

이를 통해서, 악성코드의 전이를 신속하게 예측하여 APT 공격을 효율적으로 방어할 수 있다.
Through this, it is possible to effectively prevent APT attacks by rapidly predicting the transition of malicious codes.

또한, 상기 전이 탐지 및 중앙 처리부(300)는 상기 이상 행위 판단부(200)의 그룹별 이상 행위 여부 판단에 따라, 이상 행위가 있는 것으로 판단될 경우,In addition, the transition detection and central processing unit 300 may determine whether the abnormal behavior determination unit 200 determines that there is an abnormal behavior,

이상 행위가 있는 그룹의 보안 레벨이 미리 설정된 보안 레벨 이상일 경우, APT 공격으로 판단하게 된다.If the security level of the group having the abnormal action is equal to or higher than the predetermined security level, the APT attack is determined.

즉, 악성코드가 전이되지 않더라도 자체 보안 레벨이 높은 그룹(호스트)에서 수행된 이상 행위의 경우, APT 공격에 의한 이상 행위일 가능성이 높은 것으로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 미리 설정된 보안 정책에 이상 행위가 포함되는 상기 인바운드 패킷을 수신한 그룹의 정밀 탐지를 수행할 수 있다.That is, in the case of an abnormal operation performed in a group (host) having a high self-security level even if the malicious code is not transferred, it is determined that there is a high possibility of an abnormal operation due to the APT attack and the inbound communication And perform the fine detection of the group receiving the inbound packet including the abnormal behavior in the preset security policy.

이를 통해서, APT 공격을 신속하게 예측하여 효율적으로 방어할 수 있다.
Through this, APT attacks can be predicted quickly and efficiently defended.

도 2 및 도 3은 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템을 나타낸 예시도이며, 도 2 및 도 3를 참조로 하여 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템을 간략하게 말하자면, 보안 레벨에 따라 그룹화된 이용자(호스트)로 수신되는 인바운드 패킷에 포함되어 있는 행위 정보를 분석하여, 미리 설정되어 있는 이상 행위 정보와 매칭하여 이상 행위 여부를 판단할 수 있다.2 and 3 are diagrams illustrating an APT attack defense system using malicious code transition detection according to an embodiment of the present invention. Referring to FIGS. 2 and 3, a malicious code transition according to an embodiment of the present invention In brief, the APT attack defense system using detection analyzes behavior information included in an inbound packet received by a user (host) grouped according to a security level, and matches with the previously set abnormal behavior information, Can be determined.

그룹별 이상 행위에 따라 이상 행위 전이 여부를 판단하거나, 이상 행위가 나타난 그룹 자체의 보안 레벨이 높은지 판단하여 그룹간 이상 행위가 전이되거나 APT 공격이 있는 것으로 판단될 경우, 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 미리 설정된 보안 정책에 이상 행위가 포함되는 상기 인바운드 패킷을 수신한 그룹의 정밀 탐지를 수행함으로써, APT 공격을 보다 효율적으로 탐지하여 능동적이고 신속하게 방어할 수 있다.
In the case where it is judged whether or not the abnormal behavior is transferred according to the abnormal behavior per group or whether the security level of the group in which the abnormal behavior has occurred is high and it is judged that there is an APT attack or an inter-group abnormal behavior, The APT attack can be more efficiently detected and the APT attack can be actively and quickly defended by blocking the inbound communication by the packet and performing the precise detection of the group receiving the inbound packet including the abnormal behavior in the preset security policy.

도 4는 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법을 나타낸 순서도이며, 도 5 및 도 6은 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법에서 상기 전이 탐지 및 중앙 처리부(300)에서 수행하는 통신 제어 단계(S500)를 나타낸 제 1, 2 실시예이다.FIG. 4 is a flowchart illustrating an APT attack defense method using malicious code transition detection according to an embodiment of the present invention. FIGS. 5 and 6 illustrate an APT attack defense method using malicious code transition detection according to an embodiment of the present invention And a communication control step (S500) performed by the transition detection and central processing unit 300 in the first and second embodiments.

도 4 내지 조 6을 참조로 하여 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법을 상세히 설명한다.
4 to 6, an APT attack defense method using malicious code transition detection according to an embodiment of the present invention will be described in detail.

본 발명의 일 실시예에 따른 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법는 도 4에 도시된 바와 같이, 정보 수신 단계(S100), 정보 분석 및 그룹별 분류 단계(S200), 이상 행위 판단 단계(S300), 통신 제어 단계(S400)를 포함하여 이루어질 수 있다.4, an APT attack defense method using malicious code transition detection according to an embodiment of the present invention includes an information receiving step S100, an information analysis and grouping step S200 (Step S300), and a communication control step (step S400).

본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 방법은 상술한 바와 같이, APT(Advanced Persistent Threat, 지능형 지속 위협) 공격을 방어하고자 하는 이용자에 대해 그룹을 설정하고, 상기 그룹들로 수신되는 외부 네트워크에서 내부 네트워크로의 통신에 의한 인바운드 패킷을 이용하여 이상 행위를 탐지하여 APT 공격 여부를 판단하게 된다.As described above, the APT attack defense method using malicious code transition detection according to an embodiment of the present invention sets a group for users who want to defend APT (Advanced Persistent Threat) attacks, An attack is detected using an inbound packet transmitted from the external network to the internal network, and the APT attack is determined.

상세하게는, APT 공격을 방어하고자 하는 이용자(이용자 그룹)의 호스트를 미리 설정된 보안 레벨(security level)을 기반으로 그룹을 설정하고, 상기 그룹들로 수신되는 인바운드 패킷을 검사하여 각 그룹별(호스트별) 이상 행위를 탐지하게 된다. 여기서, 미리 설정된 보안 레벨이란, APT 공격을 방어하고자 하는 이용자(호스트) 별로 설정되어 있는 보안 레벨을 의미하며 이용자가 구비하고 있는 다양한 단말기에 각각 상이하게 보안 레벨이 설정될 수 있어, 이 경우 하나의 이용자가 다양한 보안 레벨 기반의 다양한 그룹에 속하게 된다.Specifically, a group of a user (user group) who wishes to defend against an APT attack is set on the basis of a security level set in advance, and the inbound packets received in the groups are examined to determine a group Star) abnormal behavior. Here, the preset security level means a security level set for each user (host) who wants to prevent an APT attack, and a different security level can be set for each of various terminals provided by the user. In this case, The user belongs to various groups based on various security levels.

이에 따라, APT 공격을 방어하고자 하는 이용자에 한정되는 것이 아니라, APT 공격을 방어하고자 하는 조직을 그룹으로 나누는 것으로 보는 것이 바람직하다.
Accordingly, the present invention is not limited to the users who want to protect the APT attack, but it is preferable to divide the organizations that want to defend the APT attack into groups.

각 단계에 대해서 자세히 알아보자면,To learn more about each step,

상기 정보 수신 단계(S100)는 인바운드 통신을 위한 인바운드 패킷이 보안 레벨을 기반으로 설정한 상기 그룹들로 수신된다.
The information receiving step S100 receives the inbound packets for inbound communication in the groups set based on the security level.

상기 정보 분석 및 그룹별 분류 단계(S200)는 상기 패킷 분석부(100)에서 상기 정보 수신 단계(S100)에 의해 상기 그룹들로 수신된 상기 인바운드 패킷에 포함되어 있는 고유 정보를 분석하고, 그룹별로 다시 분류한다.The information analysis and grouping step S200 analyzes the unique information included in the inbound packet received in the information receiving step S100 in the packet analyzing unit 100, Classify again.

다시 말하자면, 상기 정보 분석 및 그룹별 분류 단계(S200)는 상기 패킷 분석부(100)에서 그룹별 수신되는 상기 인바운드 패킷의 고유 정보를 분석하고, 상기 인바운드 패킷의 고유 정보를 그룹별로 분류할 수 있으며, 그룹별 수신되는 모든 인바운드 패킷의 고유 정보를 분석하여 각 그룹별(호스트별) 행위 탐지를 수행한다.
In other words, the information analysis and group classification step S200 analyzes the unique information of the inbound packet received by the packet analyzing unit 100 and classifies the unique information of the inbound packet into groups , Analyzes the unique information of all inbound packets received by each group, and performs behavior detection for each group (per host).

상기 이상 행위 판단 단계(S300)는 상기 이상 행위 판단부(200)에서 상기 정보 및 그룹별 분류 단계(S200)에 의해 분석한 그룹별 상기 인바운드 패킷의 고유 정보와 미리 설정된 이상 행위 정보를 비교, 매칭하여 그룹별 이상 행위 여부를 판단한다.In the abnormal behavior determination step S300, the abnormal behavior determination unit 200 compares the information and the unique information of the inbound packet for each group analyzed by the group classification step S200 with predetermined abnormal behavior information, And determines whether the group is abnormal.

일 예를 들자면, 미리 설정된 이상 행위 정보가 '인터넷 접속 후 파일 다운로드', '디스크에 파일을 작성', '레지스트리에 정보 기록', '시작 프로그램에 등록 후 레지스트리에 서비스 등록', '특정 포트 오픈', '자가 복제 후 자가 삭제', '특정 파일 숨김으로 설정', '특정 프로세스 실행' 등과 같은 행위로 설정할 경우,For example, the preset abnormal behavior information may be 'download file after Internet connection', 'write file to disk', 'record information in registry', 'register service in registry after registering in startup program' ',' Delete self after clone ',' set to hide specific file ',' execute specific process'

상기 이상 행위 판단 단계(S300)는 상기 정보 및 그룹별 분류 단계(S200)에 의해 분석한 그룹별 상기 인바운드 패킷의 고유 정보가 상술한 모든 행위와 매칭 또는 일부 매칭될 경우, 해당하는 인바운드 패킷이 수신된 모든 그룹이 이상 행위가 있음을 판단하게 된다.If the unique information of the inbound packet for each group analyzed by the information and group classification step S200 matches or partially matches the above-described all actions, the abnormal behavior determination step S300 determines whether the corresponding inbound packet is received All of the groups are judged to be abnormal.

상기 이상 행위 판단 단계(S300)는 상기 정보 및 그룹별 분류 단계(S200)에 의해 분석한 그룹별 상기 인바운드 패킷의 고유 정보가 미리 설정된 이상 행위 정보와 매칭되는지 비교하여, 특정 그룹(호스트)에 인바운드 패킷이 수신되어 수신된 패킷의 행위의 이상 여부를 판단하게 된다.
The abnormal behavior determination step S300 compares the unique information of the inbound packet for each group analyzed by the information and group classification step S200 with predetermined abnormal behavior information to determine whether the specific group The packet is received and it is determined whether the behavior of the received packet is abnormal.

본 발명의 악성코드 전이 탐지를 이용한 APT 공격 방어 방법은 상기 전이 탐지 및 중앙 처리부(300)에서 상기 이상 행위 판단 단계(S300)에 의한 판단 결과에 따라 상기 통신 유지 단계(S400) 또는, 상기 통신 제어 단계(S500)를 수행하게 된다.The APT attack defense method using the malicious code transition detection of the present invention may be performed by the transition detection and central processing unit 300 in the communication maintenance step S400 or the communication control step S300 according to the determination result of the abnormal behavior determination step S300. Step S500 is performed.

상기 통신 유지 단계(S400)는 상기 이상 행위 판단 단계(S300)에 의한 판단 결과에 따라, 그룹간 이상 행위의 전이 및 APT 공격으로 판단되지 않을 경우, 인바운드 통신을 유지한다.The communication maintaining step S400 maintains the inbound communication when it is determined that the inter-group abnormal behavior transition and the APT attack are not determined according to the determination result of the abnormal behavior determination step S300.

상기 통신 제어 단계(S500)는 상기 전이 탐지 및 중앙 처리부(300)에서 상기 이상 행위 판단 단계(S300)에 의한 판단 결과에 따라, 그룹간 이상 행위의 전이 및 APT 공격으로 판단될 경우, 인바운드 통신을 제어한다.
In the communication control step S500, when the transition detection and the central processing unit 300 determine that the inter-group abnormal behavior transition and the APT attack are determined according to the determination result of the abnormal behavior determination step S300, the inbound communication .

상세하게는, 상기 통신 제어 단계(S500)는 도 5에 도시된 바와 같이, 보안 레벨 판단 단계(S510) 및 제 1 보안 단계(S520)를 수행하여, APT 공격을 판단할 수 있으며,5, the communication control step S500 may determine an APT attack by performing a security level determination step S510 and a first security step S520,

도 6에 도시된 바와 같이, 전이 여부 판단 단계(S530) 및 제 2 보안 단계(S540)를 수행하여, 그룹간 이상 행위 전이 여부를 판단할 수 있다.
As shown in FIG. 6, it is possible to determine whether a transition between group abnormal actions is performed by performing the transition determination step (S530) and the second security step (S540).

도 5의, 상기 보안 레벨 판단 단계(S510)는 상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨이 미리 설정된 보안 레벨 이상인지 다시 한번 판단한다.The security level determination step S510 of FIG. 5 determines again whether the security level of the group having the abnormal behavior is equal to or higher than a predetermined security level, according to the determination result of the abnormal behavior determination step S300.

상기 제 1 보안 단계(S520)는 상기 보안 레벨 판단 단계(S510)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨이 미리 설정된 보안 레벨 이상일 경우,If the security level of the group having the abnormal action is equal to or higher than the predetermined security level according to the determination result of the security level determination step (S510), the first security level (S520)

APT 공격으로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고 미리 설정된 보안 정책에 따라 정밀 탐지를 수행하게 된다.It is determined that the APT attack is caused and the inbound communication based on the inbound packet including the abnormal behavior is blocked and the precise detection is performed according to the preset security policy.

다시 말하자면, 상기 통신 제어 단계(S500)의 상기 보안 레벨 판단 단계(S510) 및 상기 제 1 보안 단계(S520)는 상기 전이 탐지 및 중앙 처리부(300)에서 상기 이상 행위 판단 단계(S300)의 그룹별 이상 행위 여부 판단에 따라, 이상 행위가 있는 것으로 판단될 경우, 이상 행위가 있는 그룹의 보안 레벨이 미리 설정된 보안 레벨 이상일 경우, APT 공격으로 판단하게 된다.In other words, the security level determination step (S510) and the first security step (S520) of the communication control step (S500) may be performed by the transition detection and central processing unit (300) If it is determined that there is an abnormal action according to the determination of the abnormal action, if the security level of the group having the abnormal action is equal to or higher than the preset security level, the APT attack is determined.

즉, 악성코드가 전이되지 않더라도 자체 보안 레벨이 높은 그룹(호스트)에서 수행된 이상 행위의 경우, APT 공격에 의한 이상 행위일 가능성이 높은 것으로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 미리 설정된 보안 정책에 이상 행위가 포함되는 상기 인바운드 패킷을 수신한 그룹의 정밀 탐지를 수행할 수 있다.That is, in the case of an abnormal operation performed in a group (host) having a high self-security level even if the malicious code is not transferred, it is determined that there is a high possibility of an abnormal operation due to the APT attack and the inbound communication And perform the fine detection of the group receiving the inbound packet including the abnormal behavior in the preset security policy.

이를 통해서, APT 공격을 신속하게 예측하여 효율적으로 방어할 수 있다.
Through this, APT attacks can be predicted quickly and efficiently defended.

또한, 도 6의, 상기 전이 여부 판단 단계(S530)는 상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹의 이상 행위 여부를 다시 한번 판단하여, 그룹간 이상 행위 전위 여부를 판단한다.In addition, according to the determination result of the abnormal behavior determination step (S300), the transition determination step S530 of FIG. 6 determines whether or not the abnormal behavior of the group having the security level higher than the security level of the group having the abnormal behavior is re- And judges whether or not there is a potential for an inter-group anomaly action.

상기 제 2 보안 단계(S540)는 상기 전이 여부 판단 단계(S530)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹의 이상 행위가 있을 경우, 그룹간 이상 행위의 전이로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고 미리 설정된 보안 정책에 따라 정밀 탐지를 수행한다.In the second security step S540, if there is an abnormal behavior in the group having a security level higher than the security level of the group in which the abnormal behavior exists, according to the determination result of the transition determination step S530, Determines in-transition, blocks inbound communication based on the inbound packet including an abnormal action, and performs fine detection according to a preset security policy.

다시 말하자면, 상기 통신 제어 단계(S500)의 상기 전이 여부 판단 단계(S530) 및 상기 제 2 보안 단계(S540)는 상기 전이 탐지 및 중앙 처리부(300)에서 상기 이상 행위 판단부(200)로부터 그룹별 인바운드 패킷의 정보가 이상 행위가 있는 것으로 판단될 경우, 그룹간 이상 행위 전이 및 APT 공격 여부를 판단하게 된다.In other words, the transition determination step S530 and the second security step S540 of the communication control step S500 may be performed by the transition detection and central processing unit 300 from the abnormal behavior determination unit 200, If it is determined that the information of the inbound packet has an abnormal behavior, it is judged whether or not the inter-group abnormal behavior transition and the APT attack.

즉, 상기 전이 탐지 및 중앙 처리부(300)는 상기 이상 행위 판단부(200)의 그룹별 이상 행위 여부 판단에 따라, 이상 행위가 있는 것으로 판단될 경우,That is, the transition detection and central processing unit 300, when it is determined that the abnormal behavior determination unit 200 has an abnormal behavior,

이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹들의 이상 행위 여부를 판단하여 그룹간 이상 행위 전이여부를 판단하게 된다.It is judged whether or not the group having the security level higher than the security level of the group having the abnormal behavior is abnormal or not and it is judged whether or not the group abnormal behavior is transferred.

이에 따라 높은 보안 레벨을 갖는 그룹들 또한 동일한 이상 행위 여부가 나타날 경우, 그룹간 이상 행위 전이여부가 있는 것으로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 미리 설정된 보안 정책에 이상 행위가 포함되는 상기 인바운드 패킷을 수신한 그룹의 정밀 탐지를 수행할 수 있다.Accordingly, when groups having a high security level show the same abnormal behavior, it is determined that there is a transition between groups of abnormal behavior, and inbound communication by the inbound packet including an abnormal behavior is blocked, It is possible to perform the precise detection of the group receiving the inbound packet including the abnormal behavior.

이를 통해서, 악성코드의 전이를 신속하게 예측하여 APT 공격을 효율적으로 방어할 수 있다.
Through this, it is possible to effectively prevent APT attacks by rapidly predicting the transition of malicious codes.

즉, 다시 말하자면, 본 발명의 일 실시예에 따른 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템 및 그 방어 방법은 보안 레벨에 따라 그룹화된 이용자(호스트)로 수신되는 인바운드 패킷에 포함되어 있는 행위 정보를 분석하여, 미리 설정되어 있는 이상 행위 정보와 매칭하여 이상 행위 여부를 판단할 수 있다.That is, in other words, the APT attack defense system and the defense method using the malicious code transition detection according to an embodiment of the present invention can detect the behavior information included in the inbound packet received by the user (host) grouped according to the security level And it is possible to determine whether the abnormal behavior is caused by matching with the abnormal behavior information set in advance.

그룹별 이상 행위에 따라 이상 행위 전이 여부를 판단하거나, 이상 행위가 나타난 그룹 자체의 보안 레벨이 높은지 판단하여 그룹간 이상 행위가 전이되거나 APT 공격이 있는 것으로 판단될 경우, 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 미리 설정된 보안 정책에 이상 행위가 포함되는 상기 인바운드 패킷을 수신한 그룹의 정밀 탐지를 수행함으로써, APT 공격을 보다 효율적으로 탐지하여 능동적이고 신속하게 방어할 수 있다.
In the case where it is judged whether or not the abnormal behavior is transferred according to the abnormal behavior per group or whether the security level of the group in which the abnormal behavior has occurred is high and it is judged that there is an APT attack or an inter-group abnormal behavior, The APT attack can be more efficiently detected and the APT attack can be actively and quickly defended by blocking the inbound communication by the packet and performing the precise detection of the group receiving the inbound packet including the abnormal behavior in the preset security policy.

이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, And various modifications and changes may be made thereto by those skilled in the art to which the present invention pertains.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

100 : 패킷 분석부
200 : 이상 행위 판단부
300 : 전이 탐지 및 중앙 처리부100: Packet analysis section
200: abnormal behavior judging unit
300: Transition detection and central processing unit

Claims (7)

기설정된 보안 레벨(security level)을 기반으로 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격을 방어하고자 하는 이용자에 대해 그룹을 설정하고, 상기 그룹들로 수신되는 외부 네트워크에서 내부 네트워크로의 통신에 의한 인바운드 패킷을 이용하여 이상 행위를 탐지하여 APT 공격 여부를 판단하는 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템에 있어서,
수신되는 상기 인바운드 패킷의 정보를 분석하며, 그룹별로 분류하는 패킷 분석부(100);
상기 패킷 분석부(100)에서 분석한 그룹별 상기 인바운드 패킷의 정보와 기설정된 이상 행위 정보를 비교하여, 그룹별 이상 행위 여부를 판단하는 이상 행위 판단부(200); 및
상기 이상 행위 판단부(200)에 의한 그룹별 이상 행위 여부 결과에 따라,
그룹간 이상 행위의 전이 및 APT 공격 여부를 판단하여 통신 접속을 제어하는 전이 탐지 및 중앙 처리부(300);
를 포함하여 구성되며,
상기 전이 탐지 및 중앙 처리부(300)는
상기 이상 행위 판단부(200)의 그룹별 이상 행위 결과에 따라,
이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹의 이상 행위 여부를 판단하여 그룹간 이상 행위의 전이 여부를 판단하는 것을 특징으로 하는 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템.
A group is set for a user who wants to defend against an APT (Advanced Persistent Threat) attack based on a predetermined security level, and a group is established by communication from the external network received in the groups to the internal network 1. An APT attack defense system using malicious code transition detection for detecting an abnormal behavior using an inbound packet and determining whether or not the attack is APT,
A packet analyzing unit (100) for analyzing information of the inbound packet received and classifying the inbound packet information by group;
An abnormal behavior determiner (200) for comparing information of the inbound packet for each group analyzed by the packet analyzer (100) and predetermined abnormal behavior information to determine whether the abnormal behavior is per group; And
According to the result of abnormal behavior by group by the abnormal behavior determination unit 200,
A transition detection and central processing unit 300 for controlling the communication connection by determining transition of an abnormal group action and APT attack;
And,
The transition detection and central processing unit 300
According to the abnormal behavior result of each group of the abnormal behavior determination unit 200,
And determining whether a group having a security level higher than the security level of the group having the abnormal behavior is abnormal or not, and determining whether the group abnormal behavior is transferred.
삭제delete 제 1항에 있어서,
상기 전이 탐지 및 중앙 처리부(300)는
상기 이상 행위 판단부(200)의 그룹별 이상 행위 여부 판단에 따라,
이상 행위가 있는 그룹의 보안 레벨이 기설정된 보안 레벨 이상일 경우, APT 공격으로 판단하는 것을 특징으로 하는 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템.
The method according to claim 1,
The transition detection and central processing unit 300
According to whether the abnormal behavior determiner 200 determines abnormal behavior for each group,
And when the security level of the group having the abnormal action is equal to or higher than the predetermined security level, it is determined that the attack is an APT attack, and the APT attack defense system using the malicious code transition detection.
제 1항 또는 제 3항에 있어서,
상기 전이 탐지 및 중앙 처리부(300)는
그룹간 이상 행위의 전이 또는 APT 공격으로 판단될 경우,
이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 기설정된 보안정책에 따라 정밀 탐지를 수행하는 것을 특징으로 하는 악성코드 전이 탐지를 이용한 APT 공격 방어 시스템.
The method according to claim 1 or 3,
The transition detection and central processing unit 300
If it is judged that there is a transition of abnormal behavior between groups or an APT attack,
Wherein the inbound communication is blocked by the inbound packet including the malicious action and the fine detection is performed according to a predetermined security policy.
기설정된 보안 레벨(security level)을 기반으로 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격을 방어하고자 하는 이용자에 대해 그룹을 설정하고, 외부 네트워크에서 내부 네트워크로의 인바운드 통신을 위한 인바운드 패킷이 상기 그룹들로 수신되는 정보 수신 단계(S100);
패킷 분석부에서 상기 정보 수신 단계(S100)에 의해 수신된 상기 인바운드 패킷에 포함되어 있는 고유 정보를 분석하고, 그룹별로 다시 분류하는 정보 분석 및 그룹별 분류 단계(S200);
이상 행위 판단부에서 상기 정보 및 그룹별 분류 단계(S300)에 의해 분석한 그룹별 상기 인바운드 패킷의 고유 정보와 기설정된 이상 행위 정보를 비교하여, 그룹별 이상 행위 여부를 판단하는 이상 행위 판단 단계(S300);
전이 탐지 및 중앙 처리부에서 상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 그룹간 이상 행위의 전이 및 APT 공격으로 판단되지 않을 경우,
인바운드 통신을 유지하는 통신 유지 단계(S400); 및
전이 탐지 및 중앙 처리부에서 상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 그룹간 이상 행위의 전이 및 APT 공격으로 판단될 경우,
인바운드 통신을 제어하는 통신 제어 단계(S500);
로 이루어지며,
상기 통신 제어 단계(S500)는
상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹의 이상 행위 여부를 다시 한번 판단하여 그룹간 이상 행위의 전이 여부를 판단하는 전이 여부 판단 단계(S530); 및
상기 전이 여부 판단 단계(S530)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨보다 높은 보안 레벨을 갖는 그룹의 이상 행위가 있을 경우,
그룹간 이상 행위의 전이로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 기설정된 보안 정책에 따라 정밀 탐지를 수행하는 제 2 보안 단계(S540);
를 수행하는 것을 특징으로 하는 악성코드 전이 탐지를 이용한 APT 공격 방어 방법.
A group is set for a user who intends to defend against an APT (Advanced Persistent Threat) attack based on a predetermined security level, and an inbound packet for inbound communication from the external network to the internal network is transmitted to the group (S100);
Analyzing and analyzing unique information included in the inbound packet received in the information receiving step (S100) by the packet analyzing unit;
An abnormal behavior determination step (step S300) of comparing the unique information of the inbound packet with the predetermined abnormal behavior information by the abnormal behavior determination unit and determining whether the abnormal behavior is per group S300);
If the transition detection and the central processing unit are not judged to be the transition of the inter-group abnormal behavior and the APT attack according to the determination result of the abnormal behavior determination step (S300)
A communication maintaining step (S400) of maintaining inbound communication; And
If it is determined that the transition of the inter-group abnormal behavior and the APT attack are based on the determination result of the abnormal behavior determination step (S300) in the transition detection and central processing unit,
A communication control step (S500) of controlling inbound communication;
Lt; / RTI >
The communication control step (S500)
According to the determination result of the abnormal behavior determination step (S300), it is determined whether or not the abnormal behavior of the group having the security level higher than the security level of the group having the abnormal behavior is once again determined, Determining step S530; And
If there is an abnormal behavior in the group having a security level higher than the security level of the group having the abnormal behavior according to the determination result of the transition determination step (S530)
A second security step (S540) of blocking inbound communication by the inbound packet including an abnormal behavior by judging the transition of the abnormal behavior between groups and performing fine detection according to a predetermined security policy;
Wherein the APT attack protection method comprises the steps of:
제 5항에 있어서,
상기 통신 제어 단계(S500)는
상기 이상 행위 판단 단계(S300)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨이 기설정된 보안 레벨 이상인지 판단하는 보안 레벨 판단 단계(S510); 및
상기 보안 레벨 판단 단계(S510)의 판단 결과에 따라, 이상 행위가 있는 그룹의 보안 레벨이 기설정된 보안 레벨 이상일 경우,
APT 공격으로 판단하여 이상 행위가 포함되는 상기 인바운드 패킷에 의한 인바운드 통신을 차단하고, 기설정된 보안 정책에 따라 정밀 탐지를 수행하는 제 1 보안 단계(S520);
를 수행하는 것을 특징으로 하는 악성코드 전이 탐지를 이용한 APT 공격 방어 방법.

6. The method of claim 5,
The communication control step (S500)
A security level determination step (S510) of determining whether a security level of a group having an abnormal behavior is equal to or higher than a preset security level, according to the determination result of the abnormal behavior determination step (S300); And
According to the determination result of the security level determination step (S510), if the security level of the group having the abnormal behavior is equal to or higher than the predetermined security level,
A first security step (S520) of blocking inbound communication based on the inbound packet judged to be an APT attack and including an abnormal behavior, and performing fine detection according to a predetermined security policy;
Wherein the APT attack protection method comprises the steps of:

삭제delete
KR20140128975A 2014-09-26 2014-09-26 Advanced Persistent Threat attack defense system and method using transfer detection of malignant code KR101499470B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20140128975A KR101499470B1 (en) 2014-09-26 2014-09-26 Advanced Persistent Threat attack defense system and method using transfer detection of malignant code

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20140128975A KR101499470B1 (en) 2014-09-26 2014-09-26 Advanced Persistent Threat attack defense system and method using transfer detection of malignant code

Publications (1)

Publication Number Publication Date
KR101499470B1 true KR101499470B1 (en) 2015-03-09

Family

ID=53026523

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20140128975A KR101499470B1 (en) 2014-09-26 2014-09-26 Advanced Persistent Threat attack defense system and method using transfer detection of malignant code

Country Status (1)

Country Link
KR (1) KR101499470B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105654232A (en) * 2015-12-24 2016-06-08 大连陆海科技股份有限公司 Coastal monitoring and defense decision-making system based on multi-dimensional space fusion and method thereof
KR101752880B1 (en) * 2015-11-20 2017-07-03 (주)유엠로직스 Advanced Persistent Threat attack tolerance system and method using cloud computing virtualization
KR20200113836A (en) * 2019-03-26 2020-10-07 한국전자통신연구원 Apparatus and method for security control
CN111953684A (en) * 2020-08-12 2020-11-17 珠海市鸿瑞信息技术股份有限公司 APT attack analysis system in power network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110070182A (en) * 2009-12-18 2011-06-24 한국인터넷진흥원 Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network
US20120304007A1 (en) * 2011-05-23 2012-11-29 Hanks Carl J Methods and systems for use in identifying abnormal behavior in a control system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110070182A (en) * 2009-12-18 2011-06-24 한국인터넷진흥원 Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network
US20120304007A1 (en) * 2011-05-23 2012-11-29 Hanks Carl J Methods and systems for use in identifying abnormal behavior in a control system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101752880B1 (en) * 2015-11-20 2017-07-03 (주)유엠로직스 Advanced Persistent Threat attack tolerance system and method using cloud computing virtualization
CN105654232A (en) * 2015-12-24 2016-06-08 大连陆海科技股份有限公司 Coastal monitoring and defense decision-making system based on multi-dimensional space fusion and method thereof
KR20200113836A (en) * 2019-03-26 2020-10-07 한국전자통신연구원 Apparatus and method for security control
KR102275065B1 (en) * 2019-03-26 2021-07-08 한국전자통신연구원 Apparatus and method for security control
CN111953684A (en) * 2020-08-12 2020-11-17 珠海市鸿瑞信息技术股份有限公司 APT attack analysis system in power network

Similar Documents

Publication Publication Date Title
US10505953B2 (en) Proactive prediction and mitigation of cyber-threats
US10264104B2 (en) Systems and methods for malicious code detection accuracy assurance
CN107426242B (en) Network security protection method, device and storage medium
US8931099B2 (en) System, method and program for identifying and preventing malicious intrusions
US9160761B2 (en) Selection of a countermeasure
US10218725B2 (en) Device and method for detecting command and control channel
KR101236822B1 (en) Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded
CA2954464C (en) Method for detecting an attack on a work environment connected to a communication network
US20080098476A1 (en) Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks
KR101744631B1 (en) Network security system and a method thereof
EP3337106B1 (en) Identification system, identification device and identification method
KR101499470B1 (en) Advanced Persistent Threat attack defense system and method using transfer detection of malignant code
US10142360B2 (en) System and method for iteratively updating network attack mitigation countermeasures
CN109995727B (en) Active protection method, device, equipment and medium for penetration attack behavior
KR100769221B1 (en) Confrontation system preparing for zeroday attack and confrontation method thereof
KR101006372B1 (en) System and method for sifting out the malicious traffic
KR101752880B1 (en) Advanced Persistent Threat attack tolerance system and method using cloud computing virtualization
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
CN110430199B (en) Method and system for identifying internet of things botnet attack source
KR100959264B1 (en) A system for monitoring network process's and preventing proliferation of zombi pc and the method thereof
Kang et al. Whitelist generation technique for industrial firewall in SCADA networks
KR20110027907A (en) System for counterplaning web firewall using conative detection·interception and method therefor
CN111027061A (en) Terminal virus detection method and device based on data packet and storage device
KR101356013B1 (en) Firewall system and method for backdoor network of advanced persistent threat attack
CN115277173B (en) Network security monitoring management system and method

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181212

Year of fee payment: 5