KR101664223B1 - 트래픽 분석 시스템 및 그의 트래픽 분석 방법 - Google Patents
트래픽 분석 시스템 및 그의 트래픽 분석 방법 Download PDFInfo
- Publication number
- KR101664223B1 KR101664223B1 KR1020150078736A KR20150078736A KR101664223B1 KR 101664223 B1 KR101664223 B1 KR 101664223B1 KR 1020150078736 A KR1020150078736 A KR 1020150078736A KR 20150078736 A KR20150078736 A KR 20150078736A KR 101664223 B1 KR101664223 B1 KR 101664223B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- signature
- category
- input
- determining
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 트래픽 분석 시스템 및 그의 트래픽 분석 방법에 관한 것이다. 구체적으로, 본 발명은 빅데이터에 기반한 시그니처와 트래픽 간 매핑 데이터 베이스를 이용하여 시그니처의 오탐률을 탐지하고 시그니처를 이용하여 트래픽을 분석하는 트래픽 분석 시스템 및 그의 트래픽 분석 방법에 관한 것이다.
이에 따른 본 발명은, 사용자로부터 시그니처 및 트래픽 중 적어도 하나를 입력받는 단계, 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처 및 트래픽 중 적어도 하나에 매핑되는 매핑 정보를 판단하는 단계 및 상기 판단된 매핑 정보를 출력하는 단계를 포함하되, 상기 기 저장된 매핑 데이터베이스는, 적어도 하나의 시그니처 및 적어도 하나의 트래픽 간의 매핑 관계를 빅데이터에 기반하여 구축되는 대용량 서버 데이터베이스인 것을 특징으로 하는 트래픽 분석 방법에 관한 것이다.
이에 따른 본 발명은, 사용자로부터 시그니처 및 트래픽 중 적어도 하나를 입력받는 단계, 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처 및 트래픽 중 적어도 하나에 매핑되는 매핑 정보를 판단하는 단계 및 상기 판단된 매핑 정보를 출력하는 단계를 포함하되, 상기 기 저장된 매핑 데이터베이스는, 적어도 하나의 시그니처 및 적어도 하나의 트래픽 간의 매핑 관계를 빅데이터에 기반하여 구축되는 대용량 서버 데이터베이스인 것을 특징으로 하는 트래픽 분석 방법에 관한 것이다.
Description
본 발명은 트래픽 분석 시스템 및 그의 트래픽 분석 방법에 관한 것이다. 구체적으로, 본 발명은 빅데이터에 기반한 시그니처와 트래픽 간 매핑 데이터 베이스를 이용하여 시그니처의 오탐률을 탐지하고 시그니처를 이용하여 트래픽을 분석하는 트래픽 분석 시스템 및 그의 트래픽 분석 방법에 관한 것이다.
네트워크 보안을 위한 트래픽 분석 시스템은 TCP/IP 기반의 트래픽 흐름을 분석하기 위한 시스템으로, 네트워크 장비 또는 호스트에서 발생하는 트래픽의 일부분을 분석한다. 일반적으로 트래픽 분석 시스템은 침입 방지 시스템(Intrusion Prevention System; IPS), 침입 탐지 시스템(Intrusion Detection System; IDS)과 같은 네트워크 장비를 이용하여 트래픽을 제어하고 악성 트래픽을 탐지한다.
트래픽 분석 시스템은 악성 트래픽을 탐지하고 차단함에 있어서, 시그니처(패턴, 문자열) 기반 네트워크 장비들을 사용한다. 구체적으로, IPS 또는 IDS는 패킷에 포함된 특정 시그니처를 기반으로, 해당 패킷이 악성 트래픽인지 여부를 판단한다. 최근에는, 시그니처 기반 네트워크 장비의 양적 및 질적 수준을 높이기 위한 끊임없는 연구가 진행되고 있다.
시그니처를 기반으로 트래픽을 분석하는 경우, 해당 시그니처가 정확하게 악성 트래픽을 탐지할 수 있다는 것이 보장되어야 한다. 이를 위하여, 임의의 시그니처를 다양한 네트워크 트래픽에 대하여 테스트함으로써 오탐률(False Positive)을 줄여야 한다. 그러나 현재의 트래픽 분석 시스템은, 사용자로부터 직접 임의의 시그니처와 임의의 네트워크 트래픽을 입력받는데 그칠 뿐이고, 소규모 데이터베이스를 이용한 오탐률 분석만 가능할 뿐, 시그니처와 트래픽 간 대용량 정보 데이터베이스에 기반한 오탐률 분석은 불가능하기 때문에, 시그니처의 신뢰도를 보장할 수 없다는 문제가 있다.
본 발명은 상기한 문제점을 해결하기 위한 것으로, 빅데이터에 기반하여 시그니처와 트래픽 간 매핑 데이터 베이스를 구축하고, 이를 이용하여 시그니처의 오탐률을 분석하는 트래픽 분석 시스템 및 그의 트래픽 분석 방법을 제공한다.
상술한 과제를 해결하기 위한 본 발명에 따른 트래픽 분석 방법은, 사용자로부터 시그니처 및 트래픽 중 적어도 하나를 입력받는 단계, 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처 및 트래픽 중 적어도 하나에 매핑되는 매핑 정보를 판단하는 단계 및 상기 판단된 매핑 정보를 출력하는 단계를 포함하되, 상기 기 저장된 매핑 데이터베이스는, 적어도 하나의 시그니처 및 적어도 하나의 트래픽 간의 매핑 관계를 빅데이터에 기반하여 구축되는 대용량 서버 데이터베이스인 것을 특징으로 한다.
또한, 상술한 과제를 해결하기 위한 본 발명에 따른 트래픽 분석 시스템은, 적어도 하나의 시그니처 및 적어도 하나의 트래픽 간의 매핑 관계를 빅데이터에 기반하여 구축되는 대용량 서버용 매핑 데이터베이스를 저장하는 저장부, 사용자로부터 시그니처 및 트래픽 중 적어도 하나를 입력받는 입력부, 상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처 및 트래픽 중 적어도 하나에 매핑되는 매핑 정보를 판단하는 제어부 및 상기 판단된 매핑 정보를 출력하는 출력부를 포함하는 것을 특징으로 한다.
본 발명에 따른 트래픽 분석 시스템 및 그의 트래픽 분석 방법은, 시그니처 및 그에 매핑되는 트래픽을 수집하여 데이터베이스화하고, 시그니처 생성 시, 해당 시그니처의 오탐률에 관한 내용을 분석할 수 있어, 시그니처 기반의 트래픽 분석 시스템 성능을 향상시킬 수 있도록 한다.
도 1은 본 발명에 따른 트래픽 분석 시스템의 구조를 나타낸 블록도이다.
도 2는 본 발명의 제1 실시 예에 따른 트래픽 분석 방법을 나타낸 순서도이다.
도 3은 본 발명의 제2 실시 예에 따른 트래픽 분석 방법을 나타낸 순서도이다.
도 4는 본 발명에 따른 매핑 데이터 베이스의 일 예를 나타낸 도면이다.
도 2는 본 발명의 제1 실시 예에 따른 트래픽 분석 방법을 나타낸 순서도이다.
도 3은 본 발명의 제2 실시 예에 따른 트래픽 분석 방법을 나타낸 순서도이다.
도 4는 본 발명에 따른 매핑 데이터 베이스의 일 예를 나타낸 도면이다.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다. 본 명세서에서는 본 발명의 특정 실시 예들이 도면에 예시되고 관련된 상세한 설명이 기재되어 있으나, 본 발명의 사상이 변경되지 않는 범위 내에서 본 발명의 다양한 변형이 가능하다. 따라서, 본 명세서는 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경 또는 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 상세히 설명한다.
도 1은 본 발명에 따른 트래픽 분석 시스템의 구조를 나타낸 블록도이다.
본 발명에 따른 트래픽 분석 시스템은 네트워크에서 동작하는 대용량 서버로써, 빅데이터에 기반하여 수집되는 시그니처와 트래픽 간 매핑 관계를 데이터베이스화하고, 사용자 단말에게 데이터베이스를 통한 트래픽 분석(시그니처 오탐률 분석을 포함) 기능을 제공하는 임의의 장치일 수 있다.
도 1을 참조하면, 본 발명에 따른 트래픽 분석 시스템(100)은 입력부(110), 저장부(120), 제어부(130) 및 출력부(140)를 포함하여 구성된다.
입력부(110)는 사용자 입력에 따른 데이터를 수신한다. 사용자 입력은 시그니처 입력, 트래픽 입력 또는 카테고리 입력 중 어느 하나일 수 있다. 입력부(110)는 시그니처 입력을 수신하고 수신된 시그니처 및 이에 관련된 정보를 수집하는 시그니처 수집 모듈(111)과 트래픽 입력을 수신하고 수신된 트래픽 및 이에 관련된 정보를 수집하는 트래픽 수집 모듈(112)을 포함하여 구성될 수 있다. 입력부(110)는 적어도 하나의 키 패드(key pad), 돔 스위치 (dome switch), 터치 패드(정압/정전), 조그 휠, 조그 스위치 등으로 구성될 수 있다.
저장부(120)는 입력부(110)를 통하여 입력되는 시그니처와 트래픽을 저장할 수 있다. 이를 위하여, 저장부(120)는 시그니처 및 그에 관한 정보를 저장하는 시그니처 저장 모듈(121)과 트래픽 및 그에 관한 정보를 저장하는 트래픽 저장 모듈(122)을 포함하여 구성될 수 있다.
본 발명의 실시 예에서, 저장부(120)는 시그니처 및 그에 매핑되는 트래픽의 매핑 관계를 매핑 데이터베이스로써 저장할 수 있다. 일 실시 예에서, 매핑 데이터베이스는, 도 4에 도시된 바와 같은 테이블 형태로 저장될 수 있다. 다양한 실시 예에서, 매핑 데이터베이스는, 시그니처 및 그에 매핑되는 트래픽의 카테고리에 관한 정보를 포함할 수 있으며, 도 4는 카테고리에 관한 정보가 포함된 테이블 형태가 도시되어 있다.
저장부(120)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 xD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.
제어부(130)는 본 발명에 따른 트래픽 분석 동작을 수행하기 위하여, 트래픽 분석 시스템(100)의 각 구성 요소들을 제어할 수 있다. 이를 위해 제어부(130)는 트래픽 분석 모듈(131)을 구비할 수 있다. 구체적으로, 제어부(130)는 빅데이터를 기반으로 시그니처 및 트래픽의 매핑 데이터베이스를 저장부(120)에 저장하고, 입력부(110)를 통하여 사용자로부터 시그니처 및 트래픽 중 적어도 하나가 입력되면, 그에 대응하는 시그니처 및 트래픽에 대한 정보를 출력하도록 출력부(140)를 제어한다.
입력부(110)를 통해 트래픽이 입력되면, 제어부(130)는 매핑 데이터베이스 내에서 입력된 트래픽에 대응하는 적어도 하나의 시그니처를 판단한다. 또한, 제어부(130)는 판단된 시그니처에 매핑된 적어도 하나의 트래픽을 판단한다. 제어부(130)는 판단된 적어도 하나의 트래픽 및 적어도 하나의 시그니처에 관한 정보를 출력하도록 출력부(140)를 제어한다.
일 실시 예에서, 제어부(130)는 판단된 적어도 하나의 시그니처에 대한 신뢰도를 판단하고, 판단된 신뢰도를 출력하도록 출력부(140)를 제어할 수 있다. 입력부(110)를 통해 트래픽 및 카테고리가 입력되면, 제어부(130)는 상기에서 판단된 적어도 하나의 트래픽 및 적어도 하나의 시그니처가, 입력된 카테고리와 동일한지 여부를 기초로 신뢰도를 판단하여 출력할 수 있다.
입력부(110)를 통해 시그니처, 트래픽 및 카테고리가 입력되면, 제어부(130)는 매핑 데이터베이스 내에서 입력된 시그니처로 탐지되는 적어도 하나의 트래픽을 판단한다. 또한, 제어부(130)는 판단된 적어도 하나의 트래픽에 매핑된 적어도 하나의 시그니처를 판단한다. 제어부(130)는 판단된 적어도 하나의 트래픽 및 적어도 하나의 시그니처에 관한 정보를 출력하도록 출력부(140)를 제어한다.
일 실시 예에서, 제어부(130)는 입력된 시그니처에 대한 신뢰도를 판단하고, 판단된 신뢰도를 출력하도록 출력부(140)를 제어할 수 있다. 입력부(110)를 통해 시그니처, 트래픽 및 카테고리가 입력되면, 제어부(130)는 상기에서 판단된 적어도 하나의 트래픽 및 적어도 하나의 시그니처가 입력된 카테고리와 동일한지 여부를 기초로 신뢰도를 판단하여 출력할 수 있다.
제어부(130)의 보다 구체적인 동작은 후술하도록 한다.
출력부(140)는 제어부(130)의 제어에 따라 트래픽 분석에 관련된 정보들을 출력한다. 다양한 실시 예에서, 출력부(140)는 사용자가 입력한 시그니처, 트래픽 및 카테고리에 관련된 매핑 데이터베이스 내의 시그니처, 트래픽, 카테고리에 관련된 정보나, 입력한 시그니처의 신뢰도에 관한 정보를 출력할 수 있다.
출력부(140)는 액정 디스플레이(liquid crystal display, LCD), 박막 트랜지스터 액정 디스플레이(thin film transistor-liquid crystal display, TFT LCD), 유기 발광 다이오드(organic light-emitting diode, OLED), 플렉시블 디스플레이(flexible display), 3차원 디스플레이(3D display) 중에서 적어도 하나를 포함할 수 있다.
이하에서는, 본 발명에 따른 트래픽 분석 방법을 보다 구체적으로 설명한다.
도 2는 본 발명의 제1 실시 예에 따른 트래픽 분석 방법을 나타낸 순서도이다.
본 발명의 제1 실시 예에서는, 사용자가 트래픽 분석 시스템(100)에 트래픽만을 입력하는 경우, 트래픽 분석 시스템(100)이 트래픽에 대응하는 시그니처 및 시그니처에 매핑되는 트래픽에 관한 정보를 분석하여 제공한다. 이 경우, 사용자는 시그니처를 직접 제작하지 않는 일반 사용자일 수 있다. 이를 구체적으로 설명하면 다음과 같다.
도 2를 참조하면, 먼저 트래픽 분석 시스템(100)은 트래픽을 입력받는다(210). 트래픽은 네트워크를 통하여 송수신 되는 임의의 패킷, 데이터를 의미할 수 있다. 일 실시 예에서, 트래픽은 네트워크 트래픽 데이터(Network Traffic Data)로써 패킷 캡처(p acket cap ture; PCAP) 파일일 수 있다.
다양한 실시 예에서, 트래픽 분석 시스템(100)은 카테고리를 입력받을 수 있다. 카테고리는, 예를 들어, 악성 트래픽, 애플리케이션 제어 트래픽 등일 수 있으며, 애플리케이션 제어 트래픽 카테고리는 보다 세분화되어 홈페이지별 트래픽, 홈페이지 내 페이지별 트래픽으로 분류될 수 있다. 사용자는 입력 트래픽이 속해야 하는 것으로 판단되는 카테고리를 트래픽 분석 시스템(100)에 추가로 입력할 수 있다.
트래픽이 입력되면, 트래픽 분석 시스템(100)은 매핑 데이터베이스 내에서 입력된 트래픽에 대응하는 매핑 정보를 판단한다(220). 구체적으로, 트래픽 분석 시스템(100)은 매핑 데이터베이스 내에서 입력된 트래픽에 대한 대응하는 적어도 하나의 시그니처를 판단할 수 있다(221). 즉, 트래픽 분석 시스템(100)은 매핑 데이터베이스 내에서, 입력된 트래픽을 탐지할 수 있는 적어도 하나의 시그니처를 판단할 수 있다. 또한, 트래픽 분석 시스템(100)은 매핑 데이터베이스 내에서, 판단된 적어도 하나의 시그니처에 매핑된 적어도 하나의 트래픽을 판단할 수 있다(222).
다양한 실시 예에서, 트래픽 분석 시스템(100)은 판단된 적어도 하나의 시그니처에 대한 신뢰도를 판단할 수 있다(230). 트래픽과 함께 카테고리가 입력된 경우, 트래픽 분석 시스템(100)은 판단된 적어도 하나의 시그니처가 입력된 카테고리와 동일한 카테고리로 매핑되어 있는지 여부를 기초로, 판단된 적어도 하나의 시그니처에 대한 신뢰도를 판단할 수 있다. 판단된 적어도 하나의 시그니처 중 입력된 카테고리와 다른 카테고리의 시그니처가 존재하는 경우, 트래픽 분석 시스템(100)은 다른 카테고리의 시그니처에 대한 비율, 개수 등에 따라 신뢰도를 감소시킬 수 있다. 예를 들어, 입력된 카테고리가 악성 트래픽 카테고리이고, 판단된 적어도 하나의 시그니처 중 애플리케이션 제어 트래픽 카테고리에 매핑된 시그니처가 존재하는 경우, 트래픽 분석 시스템(100)은 전체 판단된 적어도 하나의 시그니처 수에 대한 애플리케이션 제어 트래픽 카테고리에 매핑된 시그니처 수의 비율을 기초로 신뢰도를 판단할 수 있다. 이 경우, 신뢰도는 오탐률에 대응될 수 있다.
반대로, 트래픽 분석 시스템(100)은 판단된 적어도 하나의 시그니처 중 입력된 카테고리와 동일한 카테고리의 시그니처에 대한 비율, 개수 등에 따라 신뢰도를 증가시킬 수 있다. 이 경우, 신뢰도는 정탐률에 대응될 수 있다.
신뢰도는 퍼센트(%) 또는 기 설정된 규칙에 따라 매겨진 점수로 판단될 수 있다.
이후에, 트래픽 분석 시스템(100)은 판단된 매핑 정보를 출력한다(240). 트래픽 분석 시스템(100)은 입력된 트래픽에 대응하는 적어도 하나의 시그니처 및 그에 매핑된 적어도 하나의 트래픽에 관한 정보를 출력할 수 있다. 트래픽 분석 시스템(100)이 판단된 적어도 하나의 시그니처에 대한 신뢰도를 판단한 경우, 트래픽 분석 시스템(100)은 매핑 정보와 함께 신뢰도를 출력할 수 있다.
일 실시 예에서, 트래픽 분석 시스템(100)은 신뢰도를 기초로 정탐률이 기 설정된 임계값 이상인 경우, 입력된 트래픽 및 그에 대응하는 것으로 판단된 시그니처 간의 매핑 관계를 매핑 데이터베이스에 업데이트할 수 있다.
도 3은 본 발명의 제2 실시 예에 따른 트래픽 분석 방법을 나타낸 순서도이다.
본 발명의 제 2 실시 예에서는, 사용자가 트래픽 분석 시스템(100)에 트래픽과 함께 시그니처를 입력하는 경우, 트래픽 분석 시스템(100)이 시그니처에 대응하는 트래픽 및 트래픽에 매핑되는 시그니처에 관한 정보를 분석하여 제공한다. 이 경우, 사용자는 시그니처를 직접 제작하고, 제작된 시그니처의 신뢰도를 분석하고자 하는 분석가일 수 있다. 이를 구체적으로 설명하면 다음과 같다.
도 3을 참조하면, 먼저 트래픽 분석 시스템(100)은 시그니처 및 트래픽을 입력받는다(310). 시그니처는, 특정한 트래픽에 포함되는 특정한 문자열이나 패턴에 관한 정보로써, 트래픽의 출처, 악성 트래픽 여부 등을 판별하기 위해 사용될 수 있다. 일 실시 예에서, 시그니처는 IPS 시그니처일 수 있다. 또한, 일 실시 예에서, 트래픽은 패킷 캡처(p acket cap ture; PCAP) 파일일 수 있다.
다양한 실시 예에서, 트래픽 분석 시스템(100)은 카테고리를 입력받을 수 있다. 카테고리는, 예를 들어, 악성 트래픽, 애플리케이션 제어 트래픽 등일 수 있으며, 애플리케이션 제어 트래픽 카테고리는 보다 세분화되어 홈페이지별 트래픽, 홈페이지 내 페이지별 트래픽으로 분류될 수 있다. 사용자는 입력 시그니처 및 입력 트래픽이 속해야 하는 것으로 판단되는 카테고리를 트래픽 분석 시스템(100)에 추가로 입력할 수 있다.
시그니처 및 트래픽이 입력되면, 트래픽 분석 시스템(100)은 매핑 데이터베이스 내에서 입력된 시그니처에 대응하는 매핑 정보를 판단한다(320). 구체적으로, 트래픽 분석 시스템(100)은 매핑 데이터베이스 내에서 입력된 시그니처에 대응하는 적어도 하나의 트래픽을 판단할 수 있다(321). 즉, 트래픽 분석 시스템(100)은 매핑 데이터베이스 내에서, 입력된 시그니처로 탐지할 수 있는 적어도 하나의 트래픽을 판단할 수 있다. 또한, 트래픽 분석 시스템(100)은 판단된 적어도 하나의 트래픽에 매핑된 적어도 하나의 시그니처를 판단할 수 있다(322).
다양한 실시 예에서, 트래픽 분석 시스템(100)은 판단된 적어도 하나의 시그니처에 대한 신뢰도를 판단할 수 있다(330). 시그니처 및 트래픽과 함께 카테고리가 입력된 경우, 트래픽 분석 시스템(100)은 판단된 적어도 하나의 시그니처의 카테고리가 입력된 카테고리와 동일한지 여부를 판단한다. 판단된 적어도 하나의 시그니처 중 입력된 카테고리와 다른 카테고리의 시그니처가 존재하는 경우, 트래픽 분석 시스템(100)은 다른 카테고리의 시그니처에 대한 비율, 개수 등에 따라 신뢰도를 감소시킬 수 있다. 이 경우, 신뢰도는 오탐률에 대응될 수 있다. 반대로, 트래픽 분석 시스템(100)은 판단된 적어도 하나의 시그니처 중 입력된 카테고리와 동일한 카테고리의 시그니처에 대한 비율, 개수 등에 따라 신뢰도를 증가시킬 수 있다. 이 경우, 신뢰도는 정탐률에 대응될 수 있다.
일 실시 예에서, 트래픽 분석 시스템(100)은 판단된 적어도 하나의 트래픽의 카테고리가 입력된 카테고리와 동일한지 여부를 판단한다. 판단된 적어도 하나의 트래픽 중 입력된 카테고리와 다른 카테고리의 트래픽이 존재하는 경우, 트래픽 분석 시스템(100)은 다른 카테고리의 시그니처에 대한 비율, 개수 등에 따라 신뢰도를 감소시킬 수 있다. 다시 말하면, 판단된 트래픽 데이터가 애플리케이션 제어 트래픽이고, 입력된 시그니처가 악성 트래픽 카테고리로 입력된 경우, 입력된 시그니처는 악성 트래픽이 아닌 애플리케이션 제어 트래픽을 오탐할 가능성이 있는 것이므로 신뢰도가 감소한다.
이후에, 트래픽 분석 시스템(100)은 판단된 매핑 정보를 출력한다(340). 트래픽 분석 시스템(100)은 입력된 시그니처에 대응하는 적어도 하나의 트래픽 및 그에 매핑된 적어도 하나의 시그니처에 관한 정보를 출력할 수 있다. 트래픽 분석 시스템(100)이 입력된 시그니처에 대한 신뢰도를 판단한 경우, 트래픽 분석 시스템(100)은 매핑 정보와 함께 신뢰도를 출력할 수 있다.
일 실시 예에서, 트래픽 분석 시스템(100)은 신뢰도가 기 설정된 임계값 이상인 경우, 입력된 시그니처와 입력된 트래픽을 데이터베이스에 업데이트할 수 있다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 트래픽 분석 시스템 110: 입력부
120: 저장부 130: 제어부
140: 출력부
120: 저장부 130: 제어부
140: 출력부
Claims (12)
- 사용자로부터 시그니처 및 트래픽 중 적어도 하나 및 이에 대응하는 카테고리를 입력받는 단계;
기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처 및 트래픽 중 적어도 하나에 매핑되는 매핑 정보를 판단하는 단계;
상기 매핑 정보에 따른 카테고리가 상기 입력된 카테고리에 대응하는지 여부를 기초로, 상기 입력된 시그니처에 대한 신뢰도를 판단하는 단계; 및
상기 판단된 매핑 정보 및 신뢰도를 출력하는 단계를 포함하되,
상기 기 저장된 매핑 데이터베이스는,
적어도 하나의 시그니처, 적어도 하나의 트래픽 및 상기 적어도 하나의 시그니처 및 상기 적어도 하나의 트래픽에 대응하는 카테고리 간의 매핑 관계를 빅데이터에 기반하여 구축되는 대용량 서버 데이터베이스이고,
상기 카테고리는,
악성 트래픽 카테고리 및 애플리케이션 제어 트래픽을 포함하는 비악성 트래픽 카테고리를 포함하는 것을 특징으로 하는 트래픽 분석 방법. - 제1항에 있어서, 상기 매핑 정보를 판단하는 단계는,
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 트래픽에 대응하는 적어도 하나의 시그니처를 판단하는 단계; 및
상기 판단된 적어도 하나의 시그니처에 매핑된 적어도 하나의 트래픽을 판단하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석 방법. - 제1항에 있어서, 상기 매핑 정보를 판단하는 단계는,
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처로 탐지되는 적어도 하나의 트래픽을 판단하는 단계; 및
상기 판단된 적어도 하나의 트래픽에 매핑된 적어도 하나의 시그니처를 판단하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석 방법. - 제1항에 있어서,
상기 매핑 정보에 따른 카테고리가 상기 입력된 카테고리에 대응하는지 여부를 기초로, 상기 매핑 정보에 포함된 적어도 하나의 시그니처에 대한 신뢰도를 판단하는 단계; 및
상기 판단된 신뢰도를 출력하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 분석 방법. - 제4항에 있어서, 상기 신뢰도를 판단하는 단계는,
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 트래픽에 대응하는 적어도 하나의 시그니처를 판단하는 단계; 및
상기 판단된 적어도 하나의 시그니처의 카테고리가 상기 입력된 카테고리와 동일한지 여부를 기초로 상기 판단된 적어도 하나의 시그니처의 신뢰도를 판단하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석 방법. - 제4항에 있어서, 상기 신뢰도를 판단하는 단계는,
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처로 탐지되는 적어도 하나의 트래픽을 판단하는 단계;
상기 판단된 적어도 하나의 트래픽에 매핑된 적어도 하나의 시그니처를 판단하는 단계; 및
상기 판단된 적어도 하나의 시그니처의 카테고리가 상기 입력된 카테고리와 동일한지 여부를 기초로 상기 입력된 시그니처의 신뢰도를 판단하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석 방법. - 적어도 하나의 시그니처, 적어도 하나의 트래픽 및 상기 적어도 하나의 시그니처 및 상기 적어도 하나의 트래픽에 대응하는 카테고리 간의 매핑 관계가 빅데이터에 기반하여 구축되는 대용량 서버용 매핑 데이터베이스를 저장하는 저장부;
사용자로부터 시그니처 및 트래픽 중 적어도 하나 및 이에 대응하는 카테고리를 입력받는 입력부;
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처 및 트래픽 중 적어도 하나에 매핑되는 매핑 정보를 판단하고, 상기 매핑 정보에 따른 카테고리가 상기 입력된 카테고리에 대응하는지 여부를 기초로, 상기 입력된 시그니처에 대한 신뢰도를 판단하는 제어부; 및
상기 판단된 매핑 정보 및 신뢰드를 출력하는 출력부를 포함하는 것을 특징으로 하는 트래픽 분석 시스템. - 제7항에 있어서, 상기 제어부는,
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 트래픽에 대응하는 적어도 하나의 시그니처를 판단하고, 상기 판단된 적어도 하나의 시그니처에 매핑된 적어도 하나의 트래픽을 판단하는 것을 특징으로 하는 트래픽 분석 시스템. - 제7항에 있어서, 상기 제어부는,
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처로 탐지되는 적어도 하나의 트래픽을 판단하고, 상기 판단된 적어도 하나의 트래픽에 매핑된 적어도 하나의 시그니처를 판단하는 것을 특징으로 하는 트래픽 분석 시스템. - 제7항에 있어서, 상기 제어부는,
상기 매핑 정보에 따른 카테고리가 상기 입력된 카테고리에 대응하는지 여부를 기초로, 상기 매핑 정보에 포함된 적어도 하나의 시그니처에 대한 신뢰도를 판단하고,
상기 출력부는,
상기 판단된 신뢰도를 출력하는 것을 특징으로 하는 트래픽 분석 시스템. - 제10항에 있어서, 상기 제어부는,
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 트래픽에 대응하는 적어도 하나의 시그니처를 판단하고, 상기 판단된 적어도 하나의 시그니처의 카테고리가 상기 입력된 카테고리와 동일한지 여부를 기초로 상기 판단된 적어도 하나의 시그니처의 신뢰도를 판단하는 것을 특징으로 하는 트래픽 분석 시스템. - 제10항에 있어서, 상기 제어부는,
상기 기 저장된 매핑 데이터베이스 내에서, 상기 입력된 시그니처로 탐지되는 적어도 하나의 트래픽을 판단하고, 상기 판단된 적어도 하나의 트래픽에 매핑된 적어도 하나의 시그니처를 판단하고, 상기 판단된 적어도 하나의 시그니처의 카테고리가 상기 입력된 카테고리와 동일한지 여부를 기초로 상기 입력된 시그니처의 신뢰도를 판단하는 것을 특징으로 하는 트래픽 분석 시스템.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150078736A KR101664223B1 (ko) | 2015-06-03 | 2015-06-03 | 트래픽 분석 시스템 및 그의 트래픽 분석 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150078736A KR101664223B1 (ko) | 2015-06-03 | 2015-06-03 | 트래픽 분석 시스템 및 그의 트래픽 분석 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101664223B1 true KR101664223B1 (ko) | 2016-10-11 |
Family
ID=57162140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150078736A KR101664223B1 (ko) | 2015-06-03 | 2015-06-03 | 트래픽 분석 시스템 및 그의 트래픽 분석 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101664223B1 (ko) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130126830A (ko) * | 2012-04-30 | 2013-11-21 | (주) 시스메이트 | 실시간 응용 시그니쳐 생성 장치 및 방법 |
KR20140089195A (ko) * | 2013-01-04 | 2014-07-14 | 주식회사 윈스 | 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법 |
-
2015
- 2015-06-03 KR KR1020150078736A patent/KR101664223B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130126830A (ko) * | 2012-04-30 | 2013-11-21 | (주) 시스메이트 | 실시간 응용 시그니쳐 생성 장치 및 방법 |
KR20140089195A (ko) * | 2013-01-04 | 2014-07-14 | 주식회사 윈스 | 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757921B2 (en) | Leveraging attack graphs of agile security platform | |
US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
ES2808954T3 (es) | Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación | |
KR101743269B1 (ko) | 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치 | |
CN103890771A (zh) | 用户定义的对抗措施 | |
CN104346566A (zh) | 检测隐私权限风险的方法、装置、终端、服务器及系统 | |
US20190081964A1 (en) | Artificial Intelligence with Cyber Security | |
US9692779B2 (en) | Device for quantifying vulnerability of system and method therefor | |
KR20120068611A (ko) | 공간 연동을 통한 보안 상황 인지와 상황 정보 생성 장치 및 방법 | |
US20240163261A1 (en) | Dynamic authentication attack detection and enforcement at network, application, and host level | |
CN104135467A (zh) | 识别恶意网站的方法及装置 | |
CN105825130B (zh) | 一种信息安全预警方法及装置 | |
Subramani et al. | PhishInPatterns: measuring elicited user interactions at scale on phishing websites | |
CN107819758A (zh) | 一种网络摄像头漏洞远程检测方法及装置 | |
KR101566363B1 (ko) | 규칙 기반 보안 이벤트 연관성 분석장치 및 방법 | |
KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
Swart et al. | Adaptation of the JDL model for multi-sensor national cyber security data fusion | |
KR101081875B1 (ko) | 정보시스템 위험에 대한 예비경보 시스템 및 그 방법 | |
KR101382549B1 (ko) | 모바일 환경에서 sns 콘텐츠의 사전 검증 방법 | |
KR101664223B1 (ko) | 트래픽 분석 시스템 및 그의 트래픽 분석 방법 | |
KR102590081B1 (ko) | 보안 규제 준수 자동화 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20191001 Year of fee payment: 4 |