KR101666614B1 - 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 - Google Patents
이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 Download PDFInfo
- Publication number
- KR101666614B1 KR101666614B1 KR1020150096184A KR20150096184A KR101666614B1 KR 101666614 B1 KR101666614 B1 KR 101666614B1 KR 1020150096184 A KR1020150096184 A KR 1020150096184A KR 20150096184 A KR20150096184 A KR 20150096184A KR 101666614 B1 KR101666614 B1 KR 101666614B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- attribute
- dangerous
- pattern
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H04L51/34—
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 이력을 이용한 보안 위협 탐지 시스템 및 방법에 관한 것으로서, 더욱 상세히는 지능형 지속 위협(APT) 공격을 위한 악성코드를 심은 이메일과 관련되어 수집된 이력을 바탕으로 지능형 지속 위협과 관련된 메일을 사전 차단할 수 있도록 지원하는 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법에 관한 것이다. 본 발명에 따르면, 정상적인 송신자를 가장한 상태로 악성코드를 포함하여 APT 공격을 수행하는 위험 메일에 대하여 기존에 동일한 송신자가 송신한 복수의 이메일에 대한 이력을 기초로 이메일의 패턴을 분석하여 기존 패턴과 상이한 패턴을 가지는지 여부에 따라 상기 위험 이메일을 용이하게 구분하여 사전에 격리시킬 수 있으므로, 이를 통해 위험 이메일을 수신한 수신자를 APT 공격으로부터 용이하게 보호하는 효과가 있다.
Description
본 발명은 이력을 이용한 보안 위협 탐지 시스템 및 방법에 관한 것으로서, 더욱 상세히는 지능형 지속 위협(APT) 공격을 위한 악성코드를 심은 이메일과 관련되어 수집된 이력을 바탕으로 지능형 지속 위협과 관련된 메일을 사전 차단할 수 있도록 지원하는 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법에 관한 것이다.
최근 이메일을 통해 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 공격을 가하는 지능형 지속 위협(이하, APT: Advanced Persistent Threat)이 등장하고 있으며, 이러한 APT 공격은 악성코드를 심은 이메일을 실행한 특정 조직 내부 직원의 PC를 장악하고, 그 PC를 통해 내부 서버나 데이터베이스에 접근한 뒤 기밀정보 등을 빼오거나 파괴하는 수법이다.
이러한, APT 공격의 특징은 지속성과 은밀함으로서, APT의 공격 기간은 평균 1년으로, 길게는 5년 가까이 공격을 하는 경우도 있어 APT의 공격을 당했는지는 확인하기 어려운 경우도 적지 않다.
따라서, 이러한 APT 관련 이메일의 실행에 따른 보안 위협을 방지하기 위한 다양한 기술들이 등장하고 있으며, 일례로 별도의 가상 머신을 마련하고 해당 가상 머신 상에서 위협이 예상되는 파일을 실행하여 문제가 발생하는 경우 가상 머신을 통해 사전에 차단할 수 있도록 제공하는 시스템이 있다.
그러나, 이러한 시스템은 서로 다른 사용자에 대응되어 개별 가상 머신을 구비해야 하므로, 상당한 비용이 발생하는 문제점이 있다.
또한, 일부 APT를 위한 악성 파일은 실행 환경을 탐지하여 가상 환경시 실행되지 않도록 하거나 일정 기간 이상 잠복 상태로 대기하다가 특정 동작 상태를 감지하는 경우 실행되어 APT 공격을 수행하도록 동작할 수 있다.
이에 따라, 이러한 잠복기를 가지거나 가상 환경을 인식하여 동작하는 파일은 사전 차단이 불가능하며, 이러한 악성 코드의 실행시간을 예측할 수 없어 해당 악성 코드를 탐지하는데 상당한 시간이 소요되는 문제점이 있다.
상술한 문제점을 해결하기 위하여, 본 발명은 일정 기간 동안 수집된 이메일의 패턴을 분석하고 정규화하여 그 데이터를 기반으로 새로 유입된 메일의 위험성 여부를 판단하고, 가상 머신에 비해 저비용으로 APT 공격을 위한 이메일을 사전에 탐지하여 격리할 수 있는 시스템 및 방법을 제공하는데 그 목적이 있다.
또한, 본 발명은 APT 위험이 있는 이메일을 사전에 탐지하여 별도의 저장소에 격리시키고 해당 저장소에서 이메일을 안전하게 열람할 수 있도록 제공하여, 악성코드를 포함하는 첨부파일과 관련된 이메일을 사용자가 안전하게 판단할 수 있도록 하고 이를 통해 잠복기가 있는 악성코드를 포함하는 첨부 파일이 실행되지 않도록 방지할 수 있는 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템은 이메일을 수신하는 이메일 수신부와, 상기 메일 수신부를 통해 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 데이터 추출부와, 상기 데이터 추출부를 통해 추출된 각 속성정보를 정규화하여 상기 이메일의 송신자에 대응되어 이력정보로 누적 저장하는 이력 관리부와, 상기 누적된 이력정보를 기초로 송신자별로 상기 각 속성에 대한 패턴을 분석하여 패턴정보를 생성하는 패턴 분석부와, 상기 데이터 추출부로부터 현재 수신된 최근 이메일에 대하여 상기 각 속성에 대한 속성정보를 수신하고, 상기 패턴 분석부와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 각 속성에 대한 패턴정보를 생성한 후 상기 최근 이메일의 각 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하는 검사부 및 상기 검사부를 통해 검출된 상기 위험 이메일을 미리 설정된 임시 저장부에 저장하여 격리시키는 격리부를 포함할 수 있다.
본 발명과 관련된 일 예로서, 상기 각 속성은 송수신자, 경유 국가, 경유 메일 서버 및 메일 클라이언트 중 어느 하나인 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부 및 경유 국가의 일치 여부 중 적어도 하나를 포함하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 이력정보를 저장하는 저장부를 더 포함하며, 상기 패턴 분석부는 상기 저장부에 누적 저장된 이력정보 중 상기 이력정보에 포함된 시간정보를 기초로 미리 설정된 기간 내에 해당하는 이력정보만을 대상으로 패턴을 분석하여 상기 패턴 정보를 생성하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 격리부와 연동하여 상기 임시 저장부에 상기 위험 이메일 저장시 상기 임시 저장부에 저장된 상기 위험 이메일의 접속 주소가 링크된 알림 메일을 생성하여 상기 위험 이메일에 설정된 수신자의 메일 주소로 전송하는 알림부 및 상기 접속 주소로 접속한 상기 수신자의 사용자 장치로부터 상기 위험 이메일의 열람 요청을 수신하고, 상기 열람 요청에 따라 상기 사용자 장치에서 열람 가능한 형태로 상기 위험 이메일을 변환하여 상기 위험 이메일의 미리 보기를 상기 사용자 장치에 제공하는 미리보기 제공부를 더 포함하는 것을 특징으로 할 수 있다.
본 발명과 관련된 일 예로서, 상기 미리보기 제공부는 상기 위험 이메일을 HTML 또는 이미지 형태로 변환하여 상기 위험 이메일에 대한 미리보기를 제공하는 것을 특징으로 할 수 있다.
본 발명의 실시예에 따른 이메일을 수신하여 지능형 지속 위협을 탐지하는 메일 서버의 지능형 지속 위협 탐지 방법은, 이메일을 수신하는 단계와, 상기 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 단계와, 상기 추출된 속성별 속성정보를 상기 각 속성에 대한 이력정보로 누적 저장하는 단계와, 현재 수신된 최근 이메일의 송신자에 대응되어 누적된 상기 이력정보를 기초로 상기 각 속성에 대한 패턴을 분석하여 속성별 패턴정보를 생성하는 단계와, 상기 최근 이메일로부터 상기 각 속성에 대하여 추출한 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 상기 속성별 패턴정보와 비교하여 이상이 발생한 위험 이메일을 검출하는 단계 및 상기 검출된 상기 위험 이메일을 미리 설정된 임시 저장부에 저장하여 격리시키는 단계를 포함할 수 있다.
본 발명에 따르면, 정상적인 송신자를 가장한 상태로 악성코드를 포함하여 APT 공격을 수행하는 위험 메일에 대하여 기존에 동일한 송신자가 송신한 복수의 이메일에 대한 이력을 기초로 이메일의 패턴을 분석하여 기존 패턴과 상이한 패턴을 가지는지 여부에 따라 상기 위험 이메일을 용이하게 구분하여 사전에 격리시킬 수 있으므로, 이를 통해 위험 이메일을 수신한 수신자를 APT 공격으로부터 용이하게 보호하는 효과가 있다.
또한, 본 발명은 가상 머신과 같은 고비용의 장치를 구성할 필요 없이 서버단에서 용이하게 APT 공격이 의심되는 위험 이메일을 사전에 차단할 수 있으므로, 비용상 이점을 제공하는 효과가 있다.
더하여, 본 발명은 악성코드가 내포되거나 악성코드가 포함된 첨부파일을 포함하는 위험 이메일이 사용자 환경에서 실행되지 않도록 미리보기를 제공함으로써 안전하게 위험 메일인지 여부를 수신자가 확인할 수 있도록 제공하는 효과가 있으며, 이를 통해 잠복기가 있는 악성코드를 포함하는 첨부파일이 실행되지 않도록 방지할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 구성도.
도 2는 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 이력정보 수집에 대한 예시도.
도 3은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 위험 이메일 격리에 대한 동작 예시도.
도 4 내지 도 8은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 속성별 위험 이메일 검출 및 격리에 대한 다양한 예시를 도시한 예시도.
도 9는 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 위험 이메일에 대한 안전 미리보기 제공에 대한 동작 예시도.
도 10은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 방법에 대한 순서도.
도 2는 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 이력정보 수집에 대한 예시도.
도 3은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 위험 이메일 격리에 대한 동작 예시도.
도 4 내지 도 8은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 속성별 위험 이메일 검출 및 격리에 대한 다양한 예시를 도시한 예시도.
도 9는 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 위험 이메일에 대한 안전 미리보기 제공에 대한 동작 예시도.
도 10은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 방법에 대한 순서도.
이하, 도면을 참고하여 본 발명의 상세 실시예를 설명한다.
도 1은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템의 구성도로서, 도시된 바와 같이 이메일 수신부(110), 데이터 추출부(120), 이력 관리부(130), 패턴 분석부(140), 검사부(150), 격리부(160), 알림부(170), 미리 보기 제공부(180)를 포함하는 메일 서버(100)로 구성될 수 있다.
이때, 상기 이메일 수신부(110)는 통신망을 통해 수신되는 이메일(E-mail)을 수신할 수 있다.
또한, 상기 데이터 추출부(120)는 도 2에 도시된 바와 같이 상기 이메일 수신부(110)를 통해 수신된 이메일로부터 미리 설정된 하나 이상의 속성에 대응되어 속성정보를 추출할 수 있다.
이때, 상기 각 속성은 송수신자, 경유 국가, 경유 메일서버, 메일 클라이언트(mail client) 중 어느 하나에 대응되며, 상기 데이터 추출부(120)는 상기 이메일로부터 각 속성에 대응되는 속성정보를 추출할 수 있다. 또한, 상기 데이터 추출부(120)는 상기 이메일의 헤더정보로부터 상기 각 속성에 대응되는 속성정보를 추출할 수 있다.
다음, 상기 이력 관리부(130)는 상기 데이터 추출부(120)를 통해 추출된 속성별 속성정보를 정규화하여 이력 DB(101)에 이력정보로 누적 저장할 수 있다.
이때, 상기 이력 관리부(130)는 송수신자에 대한 속성에 대응되어 추출된 상기 속성정보를 기초로 상기 이메일의 송신자를 판단하고, 상기 이메일의 송신자에 대응되어 상기 각 속성에 대응되는 이력정보를 이력 DB(101)에 누적 저장할 수 있다. 일례로, 상기 이력 관리부(130)는 속성정보에 포함된 송신자의 계정에 대응되어 상기 각 속성에 대응되는 이력정보를 이력 DB(101)에 누적 저장할 수 있다.
또한, 상기 이력 관리부(130)는 상기 데이터 추출부(120)와 연동하여 상기 이메일 수신부(110)를 통해 수신된 상기 이메일의 송신 시간에 대한 시간정보를 이력정보에 포함시킬 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이력 DB(101)에 누적된 복수의 이력 정보를 기초로 속성별 패턴을 분석하여 패턴정보를 생성할 수 있다.
일례로, 상기 패턴 분석부(140)는 이력 DB(101)에 상기 특정 송신자에 대응되어 누적 저장된 이력정보들 중에서 각 속성별로 중복횟수가 가장 높거나 중복횟수가 미리 설정된 기준치 이상인 이력정보를 패턴정보로 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 특정 송신자의 이메일 패턴에 대한 최신성을 유지하기 위하여 상기 이력 DB(101)에 상기 특정 송신자에 대응되어 저장된 이력정보 중 시간정보를 기초로 미리 설정된 기간 동안 미리 설정된 개수 이상의 이메일이 수신된 경우에만 상기 패턴정보를 생성할 수도 있다.
또한, 상기 패턴 분석부(140)는 상기 이메일의 수신자가 특정 송신자에 대응되어 설정한 설정정보를 기초로 상기 속성별 패턴정보를 생성할 수도 있다.
일례로, 상기 패턴 분석부(140)는 특정 메일 클라이언트에 대한 값을 상기 수신자로부터 설정받아 설정정보로 저장하고, 상기 설정정보에 대응되는 특정 메일 클라이언트를 상기 복수의 속성 중 하나인 메일 클라이언트에 대한 패턴정보로 생성할 수 있다.
한편, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 현재 수신된 최근 이메일에 대하여 상기 각 속성별로 추출된 속성정보를 수신할 수 있으며, 속성정보 수신시 상기 패턴 분석부(140)와 연동하여 상기 최근 이메일의 송신자에 대응되는 속성별 패턴정보를 생성하고, 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되는 패턴 정보를 수신할 수 있다.
이에 따라, 상기 검사부(150)는 상기 패턴 분석부(140)로부터 제공된 속성별 패턴정보와 상기 데이터 추출부(120)로부터 수신된 속성별 속성정보를 동일 속성끼리 미리 설정된 기준에 따라 비교하여 일치 여부를 판단하고, 불일치하는 경우 상기 최근 이메일을 이상이 발생한 위험 이메일로 판단할 수 있다.
이후, 상기 격리부(160)는 상기 검사부(150)로부터 이상이 발생한 상기 최근 이메일을 수신한 후 임시 DB(103)에 격리하여 위험 이메일로 구분할 수 있다.
이를 도 3을 통해 상세히 설명하면, 도시된 바와 같이 상기 검사부(150)는 상기 데이터 추출부(120)로부터 현재 수신된 상기 최근 이메일에 대한 속성별 속성정보를 수신할 수 있다.
이때, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 상기 속성별 속성정보와 함께 상기 최근 이메일을 수신하거나 상기 이메일 수신부(110)로부터 상기 최근 이메일을 수신할 수 있으며, 상기 이메일 수신부(110)로부터 상기 최근 이메일을 수신한 경우 상기 데이터 추출부(120)와 연동하여 상기 최근 이메일에 대한 상기 속성별 속성정보를 추출할 수 있다.
이에 따라, 상기 검사부(150)는 상기 최근 이메일에 대하여 추출된 속성정보에서 송신자 정보(일례로, 송신자 계정)를 검색하여 상기 최근 이메일의 송신자가 송신자 1임을 판단할 수 있으며, 상기 패턴 분석부(140)와 연동하여 상기 송신자 1에 대응되어 수신된 기존 이메일들로부터 추출된 속성정보를 기초로 생성되어 누적 저장된 이력정보가 이력 DB(101)에 존재하는지 판단하고, 존재하는 경우 해당 송신자 1에 대응되는 하나 이상의 이력정보를 속성별로 이력 DB(101)로부터 추출하고, 해당 속성별 이력정보를 기초로 각 속성별로 중복횟수가 가장 높거나 중복횟수가 미리 설정된 기준치 이상인 값을 패턴정보로 생성하여 속성별 패턴정보를 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 상기 누적 저장된 이력정보들 중에서 상기 이력 DB(101)에 각 이력정보에 포함된 시간정보를 기초로 현재를 기준으로 미리 설정된 기간 동안 수신된 이력정보만을 추출하여 상기 속성별 패턴정보를 생성할 수 있다.
이후, 상기 검사부(150)는 상기 이력정보를 기초로 상기 패턴 분석부(140)로부터 제공되는 속성별 상기 패턴 정보를 제공받아 각 속성에 대응되어 미리 설정된 하나 이상의 기준에 따라 상기 최근 이메일에 대응되는 속성별 속성정보와 동일 속성끼리 상호 비교할 수 있다.
이때, 상기 각 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치 여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부, 경유 국가의 일치 여부 중 적어도 하나를 포함할 수 있다.
이후, 상기 검사부(150)는 상기 각 속성 모두에 대하여 패턴정보와 속성정보가 일치하는 경우 상기 최근 이메일을 미리 지정된 메일 DB(102)에서 상기 최근 이메일에 포함된 수신자의 계정에 대응되어 저장할 수 있으며, 적어도 하나의 속성에 대하여 패턴정보와 속성정보가 일치하지 않는 경우 상기 최근 이메일에 이상이 발생한 것으로 판단하고, 상기 최근 이메일을 APT(Advanced Persistent Threat: 지능형 지속 위협) 공격이 의심되는 위험 이메일로 검출할 수 있다.
이에 따라, 상기 격리부(160)는 상기 검사부(150)로부터 위험 이메일 수신시 해당 위험 이메일을 상기 최근 이메일의 수신자 계정에 대응되어 임시 DB(103)에 저장하여 격리시킬 수 있다.
상술한 구성을 통해, 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템이 적용된 메일 서버(100)는 정상적인 송신자를 가장한 상태로 악성코드를 포함하여 APT 공격을 수행하는 위험 이메일에 대하여 기존에 동일한 송신자가 송신한 복수의 이메일에 대한 이력을 기초로 이메일의 패턴을 분석하여 기존 패턴과 상이한 패턴을 가지는지 여부에 따라 상기 위험 이메일을 용이하게 구분하여 사전에 격리시킬 수 있으므로, 이를 통해 위험 이메일을 수신한 수신자를 APT 공격으로부터 용이하게 보호할 수 있다.
이하, 상술한 구성을 기초로 상기 메일 서버(100)의 이메일에 대한 검사 실시예를 도 4 내지 도 8을 통해 상세히 설명한다.
첫 번째 일례로, 상기 데이터 추출부(120)는 도 4에 도시된 바와 같이 이메일 수신부(110)를 통해 수신된 이메일에 포함되는 헤더 정보로부터 상기 복수의 속성 중 하나인 메일 클라이언트를 표시하는 X-Mailer 값을 추출하여 속성정보를 생성할 수 있다. 즉, 상기 데이터 추출부(120)는 X-Mailer 값인 Microsoft Outlook 15.0을 메일 클라이언트에 대한 속성정보로 추출하고, 상기 이력 관리부(130)는 해당 속성정보를 상기 이메일의 송신자에 대응되어 메일 클라이언트의 속성에 대한 이력 정보로 이력 DB(101)에 저장할 수 있다.
이때, 메일 클라이언트는 송신자의 송신자 장치에 구성되어 상기 메일 서버(100)로 메일을 전송하는 이메일 에이전트(E-mail agent)에 대한 식별정보를 의미할 수 있다.
또한, 상기 메일 클라이언트의 종류에 따라 상기 이메일의 헤더 정보에 X-Mailer 이외에도 User-Agent로 표시될 수도 있으며, 상기 데이터 추출부(120)는 상기 User-Agent의 값을 상기 메일 클라이언트에 대한 속성정보로 추출할 수도 있다.
한편, 상기 패턴 분석부(140)는 지속적으로 수신되는 상기 송신자와 동일한 송신자에 대응되어 수신되는 복수의 이메일로부터 메일 클라이언트에 대한 속성정보로 Microsoft Outlook 15.0이 수신되어 상기 이력 DB(101)에 이력정보로 누적된 경우 상기 패턴 분석부(140)는 상기 메일 클라이언트의 속성에 대응되어 누적된 이력정보를 기초로 현재를 기준으로 미리 설정된 기간 동안 중복 횟수가 가장 높거나 미리 설정된 기준치 이상인 값인 Microsoft Outlook 15.0을 상기 메일 클라이언트에 대한 패턴 정보로 생성할 수 있다.
이후, 상기 검사부(150)는 상기 데이터 추출부(120)를 통해 상기 이메일 수신부(110)에 현재 수신된 최근 이메일의 속성정보를 수신한 경우 상기 패턴 분석부(140)와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 패턴 분석부(140)로부터 상기 메일 클라이언트에 대한 패턴 정보를 수신하고, 상기 메일 클라이언트의 일치 여부에 대한 상기 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 제공되는 상기 메일 클라이언트에 대한 패턴 정보인 Microsoft Outlook 15.0과 일치하지 않는 X-Mailer 값 또는 User-Agent 값을 가진 상기 최근 이메일을 위험 이메일로 검출하고, 상기 격리부(160)는 상기 위험 이메일을 별도의 저장소인 임시 DB(103)에 저장하여 격리시킬 수 있다.
두번째 일례로, 상기 데이터 추출부(120)는 이메일에 포함된 헤더 정보로부터 복수의 속성 중 하나인 이메일이 경유한 각 경유 메일 서버에 대한 속성 정보를 상기 경유 메일 서버에 대한 속성에 대응되어 추출하고, 상기 이력 관리부(130)는 해당 속성정보를 상기 경유 메일 서버에 대한 속성에 대응되는 이력 정보로 이력 DB(101)에 상기 이메일의 송신자에 대응되어 누적 저장할 수 있다.
예를 들어, 상기 데이터 추출부(120)는 도 5 및 도 6에 도시된 바와 같이 이메일의 헤더 정보로부터 도시된 Received 항목의 By값을 상기 경유 메일 서버에 대한 속성정보로 추출할 수 있으며, 상기 이력 관리부(130)는 해당 By값을 이력 정보로 이력 DB(101)에 상기 이메일의 송신자에 대응되어 누적 저장할 수 있다.
이때, 상기 데이터 추출부(120)는 경유 메일 서버가 여러 개인 경우 이메일의 헤더 정보에 포함된 복수의 Received 항목 중에서 최초 메일 전달 서버 및 최종 메일 전달 서버에 대한 Received 항목을 식별하고, 도 5에 도시된 바와 같은 최종 메일 전달 서버에 대한 Received 항목의 By 값과 도 6에 도시된 바와 같은 최초 메일 전달 서버에 대한 Received 항목의 By 값을 포함하는 속성정보를 추출할 수 있다.
또한, 상기 이력 관리부(130)는 상기 이력 정보 저장시 최초 메일 전달 서버 또는 최종 메일 전달 서버를 구분하기 위한 식별정보를 상기 이력정보에 포함하여 저장할 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적으로 수신되는 이메일로부터 추출된 속성정보를 기초로 상기 복수의 속성 중 하나인 경유 메일 서버에 대응되어 상기 이력 DB(101)에 누적 저장된 상기 이력 정보를 패턴 분석하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 최초 메일 전달 서버 및 최종 메일 전달 서버 중 적어도 하나에 대한 By 값을 패턴 정보로 생성할 수 있다. 이때, 패턴정보에는 최초 메일 전달 서버 및 최종 메일 전달 서버의 구분을 위한 식별정보가 포함될 수 있다.
또한, 경유 메일 서버가 1개인 경우 상기 최초 메일 전달 서버 및 최종 메일 전달 서버는 상호 동일할 수 있다.
이에 따라, 상기 검사부(150)는 도 5에 도시된 바와 같이 현재 수신된 최근 이메일에 포함된 헤더 정보로부터 경유 메일 서버에 대응되어 추출된 속성정보인 By 값을 상기 데이터 추출부(120)로부터 수신한 경우, 상기 최종 메일 전달 서버의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 메일 서버에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 메일 서버에 대한 속성 정보에서 최종 메일 전달 서버에 대응되는 By 값과 상기 패턴정보에 따른 최종 메일 전달 서버의 By 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
또한, 상기 검사부(150)는 도 6에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보로부터 경유 메일 서버에 대응되어 추출된 속성정보인 By값을 상기 데이터 추출부(120)로부터 수신한 경우 상기 최초 메일 전달 서버의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 메일 서버에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 메일 서버에 대한 속성 정보에서 최초 메일 전달 서버에 대응되는 By값과 상기 패턴정보에 따른 최초 메일 전달 서버의 By 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
상술한 구성에서, 상기 최초 메일 전달 서버는 상기 경유 메일 서버 중 최초로 상기 이메일을 전달한 서버를 의미하며, 상기 최종 메일 전달 서버는 상기 경유 메일 서버 중 마지막으로 상기 이메일을 상기 메일 서버(100)로 전송한 서버를 의미할 수 있다.
세 번째 일례로, 상기 데이터 추출부(120)는 상기 이메일의 헤더정보로부터 복수의 속성 중 하나인 송수신자에 대한 Received 항목을 식별하고, 도 7에 도시된 바와 같이 해당 Received 항목의 From 값을 송수신자에 대한 속성정보로 추출할 수 잇다.
이때, 송수신자에 대한 Received 항목은 최초 메일 전달 서버의 Received 항목과 일치하지만, 해당 Received 항목에서 By값이 아닌 From 값을 송수신자에 대한 속성정보로 추출할 수 있으며, 이력 관리부(130)는 해당 From 값을 송수신자에 대한 이력 정보로 이메일의 송신자에 대응되어 이력 DB(101)에 누적 저장할 수 있다.
또한, 송수신자에 대한 Received 항목에서 From 값은 자신의 서버에 접속한 메일 클라이언트 정보이고 By 값은 자신의 정보를 나타낸다. 그렇기 때문에 첫 번째 Received 항목의 From 값은 최초 메일 전달 서버에 접속한 송신자의 IP(Internet Protocol) 정보(접속 정보)를 포함하고 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적으로 수신되는 복수의 이메일로부터 추출된 송수신자에 대한 속성정보를 기초로 누적된 상기 이력 정보를 패턴 분석하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 송수신자에 대한 속성 정보를 패턴 정보로 생성할 수 있다.
이에 따라, 상기 검사부(150)는 도 7에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보로부터 송수신자에 대응되어 추출된 속성정보인 상기 From 값을 데이터 추출부(120)로부터 수신한 경우 상기 송신자 접속 정보의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 송수신자에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 송수신자에 대한 속성정보에 포함되는 From 값과 상기 패턴정보에 따른 송신자 접속 정보에 대한 From 값을 상호 비교하여 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
네 번째 일례로, 상기 데이터 추출부(120)는 복수의 속성 중 하나인 경유 국가에 대한 속성정보를 추출하기 위해, 이메일의 헤더정보로부터 도 8에 도시된 바와 같이 모든 Received 항목의 By 값과 From 값을 경유 국가에 대한 속성정보로 추출할 수 있으며, 상기 이력 관리부(130)는 각 Received 항목의 By 값과 From 값을 이력정보로 이력 DB(101)에 이메일의 송신자에 대응되어 누적 저장할 수 있다.
이때, 이력 관리부(130)는 By 값과 From 값에 포함된 IP 정보를 기초로 하나 이상의 경유 국가에 대한 국가정보를 취득할 수 있으며, 이를 이력정보로 이력 DB(101)에 누적 저장할 수 있다.
한편, 상기 패턴 분석부(140)는 상기 이메일의 송신자와 동일한 송신자에 대응되어 지속적인 수신된 이메일로부터 추출된 속성정보를 기초로 상기 복수의 속성 중 하나인 경유 국가에 대응되어 상기 이력 DB(101)에 누적 저장된 상기 이력 정보를 패턴 분석하여 중복 횟수가 가장 높거나 미리 설정된 기준치 이상인 이력정보를 패턴 정보로 생성할 수 있다.
이에 따라, 상기 검사부(150)는 도 8에 도시된 바와 같이 현재 수신된 최근 이메일에 포함되는 헤더 정보에서 경유 국가에 대응되어 모든 Received 항목으로부터 추출된 By 값과 From 값을 상기 데이터 추출부(120)로부터 수신한 경우 상기 경유 국가의 일치 여부에 대한 미리 설정된 기준에 따라 상기 패턴 분석부(140)로부터 상기 최근 이메일의 송신자에 대응되어 상기 경유 국가에 대한 패턴 정보를 수신하고, 상기 최근 이메일에 대응되는 경유 국가에 대한 속성정보에서 각 Received 항목의 By 과 From 값에 포함된 IP 정보로부터 국가정보를 확인하여 상기 패턴 정보에 따른 하나 이상의 경유 국가와 불일치 하는 경우 상기 최근 이메일을 위험 이메일로 검출하며, 상기 격리부(160)는 해당 위험 이메일을 상기 임시 DB(103)에 저장하여 격리시킬 수 있다.
상술한 구성에서, 상기 이력 관리부(130)는 상기 이력 DB(101)에 이력정보를 누적 저장시 송신자의 메일 주소와 매칭하여 상기 이력정보를 누적 저장할 수 있으며, 상기 이메일의 송신시간에 대한 시간정보를 상기 이메일에 대한 이력정보에 포함시켜 이력 DB(101)에 누적 저장할 수 있다.
또한, 상기 검사부(150)는 상기 데이터 추출부(120)로부터 상기 최근 이메일을 수신하여 위험 이메일로 검출된 최근 이메일을 격리부(160)와 연동하여 격리시킬 수 있다.
더하여, 상기 패턴 분석부(140)는 상기 검사부(150)로부터 상기 최근 이메일에 대응되는 송신시간 또는 현재시간을 수신하고, 상기 이력 DB(101)에 누적 저장된 각 이력정보에 포함된 시간정보를 기초로 상기 최근 이메일에 대응되는 송신시간 또는 현재 시간을 기준으로 미리 설정된 기간 동안에 특정 속성에 대응되어 누적 저장된 이력정보만을 대상으로 상술한 패턴 분석을 수행하여 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 값을 패턴정보로 생성할 수 있다.
이때, 상기 패턴 분석부(140)는 미리 설정된 기간 동안 미리 설정된 횟수 이상의 이력정보가 누적된 경우에만 패턴정보를 생성하도록 동작할 수도 있다.
상술한 구성에 따라, 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템을 포함하는 메일 서버(100)는 기존에 특정 송신자에 대응되어 수신된 복수의 이메일로부터 미리 설정된 각 속성에 대한 이력정보를 수집하고, 각 이력정보로부터 수집된 이메일의 패턴을 확인하여, 상기 특정 송신자와 동일한 송신자에 대응되어 새로 유입된 이메일 중 해당 패턴과 불일치 하는 이메일을 APT 공격이 의심되는 이메일로 추출하여 격리시킬 수 있다.
이를 통해, 본 발명은 이메일을 통한 APT 공격을 사전에 차단할 수 있도록 지원할 수 있다.
한편, 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 시스템은 APT 공격이 의심되는 위험 이메일을 사용자가 안전하게 열람할 수 있도록 지원하는데 이를 상술한 구성을 참고하여 도 9의 구성을 토대로 설명한다.
도시된 바와 같이, 상기 메일 서버(100)에 포함된 알림부(170)는 상기 격리부(160)와 연동하여 상기 임시 DB(103)에 위험 이메일이 저장되는 경우 상기 위험 이메일의 수신자에 대응되는 이메일 주소로 상기 임시 DB(103)에 저장된 상기 위험 이메일의 접속 주소가 링크된 알림 메일을 전송할 수 있다.
또한, 상기 미리보기 제공부(180)는 수신자가 자신의 사용자 장치(200)를 이용하여 상기 알림 메일을 통해 상기 임시 DB(103)에 저장된 위험 이메일로 접속하는 경우 상기 접속을 감지하여 상기 사용자 장치(200)의 상기 위험 이메일에 대한 열람 요청에 따라 상기 위험 이메일의 미리 보기를 제공할 수 있다.
이때, 상기 위험 이메일은 기존의 정상 이메일과 달리 APT 공격이 의심되는 이메일로서, 위험 이메일에 포함된 악성코드가 실행되지 않도록 하는 것이 중요하다.
이를 위해, 상기 미리보기 제공부(180)는 상기 위험 이메일에 포함된 악성코드를 제거하거나, 실행가능한 스크립트를 제거한 상태에서 상기 위험 이메일의 내용만이 제공되도록 상기 사용자 장치(200)의 사용자 환경에서 열람 가능한 HTML 또는 이미지 형태로 상기 위험 이메일을 변환한 미리 보기 정보로서 상기 사용자 장치(200)에 전송하여 상기 위험 이메일의 내용을 안전하게 확인할 수 있도록 제공할 수 있다.
이에 따라, 상기 위험 이메일의 열람을 요청한 수신자의 사용자 장치(200)는 위험 이메일의 내용을 미리보기를 통해 확인할 수 있으며, 이를 통해 수신자는 상기 위험 이메일을 전송한 송신자가 기존 정상적인 이메일을 전송한 송신자와 동일한 경우라도 기존 이메일의 패턴과 상이한 경우 용이하게 APT 공격이 의심되는 메일로 판단할 수 있다.
이를 통해, 본 발명은 APT 공격이 의심되는 메일을 격리시켜 사용자 환경에서의 실행을 방지하여 악성코드가 배포되는 것을 사전에 차단할 수 있으며, 사용자가 격리된 이메일을 미리보기를 통해 안전하게 확인하여 제거할 수 있도록 제공함으로써 안전 메일보기를 지원할 수 있다.
도 10은 본 발명의 실시예에 따른 이력을 이용한 지능형 지속 위협 탐지 방법에 대한 순서도로서, 도시된 바와 같이 메일 서버(100)는 이메일을 수신하고(S1), 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출할 수 있다(S2).
다음, 메일 서버(100)는 상기 추출된 각 속성정보를 상기 이메일의 송신자에 대응되어 상기 각 속성에 대한 이력정보로 누적 저장할 수 있다(S3).
한편, 상기 메일 서버(100)는 현재 수신된 최근 이메일에 대한 APT에 대한 검사를 수행할 수 있으며, 상기 최근 이메일 수신시 상기 최근 이메일의 송신자에 대응되어 이력 DB(101)에 누적 저장된 상기 속성별 이력정보를 패턴 분석하여 각 속성에 대응되어 중복횟수가 가장 높거나 미리 설정된 기준치 이상인 값을 추출하여 각 속성에 대한 패턴정보로 생성할 수 있다(S4).
이후, 상기 메일 서버(100)는 상기 최근 이메일로부터 상기 각 속성에 대하여 추출된 속성정보와 상기 각 속성에 대하여 생성한 패턴정보를 미리 설정된 기준에 따라 상호 비교하여(S5) 어느 하나의 속성에 대하여 불일치하는 경우 상기 최근 이메일에 이상이 발생한 것으로 판단하여(S6) 위험 이메일로 검출할 수 있다(S7).
다음, 상기 메일 서버(100)는 상기 최근 이메일을 임시 DB(103)에 저장하여 격리시킬 수 있으며(S8), 모든 속성에 대하여 속성정보와 패턴정보가 일치하는 메일을 정상적인 메일로 간주하여 최근 이메일에 포함된 수신자의 계정에 대응되어 메일 DB(102)에 상기 최근 이메일을 저장할 수 있다.
본 명세서에 기술된 다양한 서버, 장치 및 구성부는 하드웨어 회로(예를 들어, CMOS 기반 로직 회로), 펌웨어, 소프트웨어 또는 이들의 조합에 의해 구현될 수 있다. 예를 들어, 다양한 전기적 구조의 형태로 트랜지스터, 로직게이트 및 전자회로를 활용하여 구현될 수 있다.
더하여, 상기 메일 서버(100)는 이메일 수신시 널리 알려진 다양한 유무선 통신망을 통해 이메일을 전송하거나 사용자 장치(200)로 이메일을 전송할 수 있음은 물론이며, 상기 사용자 장치(200)는 통신 기능을 구비한 스마트 폰(Smart Phone), 휴대 단말기(Portable Terminal), 이동 단말기(Mobile Terminal), 개인 정보 단말기(Personal Digital Assistant: PDA) 등과 같은 다양한 단말기를 포함할 수 있다.
전술된 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 메일 서버 101: 이력 DB
102: 메일 DB 103: 임시 DB
110: 이메일 수신부 120: 데이터 추출부
130: 이력 관리부 140: 패턴 분석부
150: 검사부 160: 격리부
170: 알림부 180: 미리보기 제공부
102: 메일 DB 103: 임시 DB
110: 이메일 수신부 120: 데이터 추출부
130: 이력 관리부 140: 패턴 분석부
150: 검사부 160: 격리부
170: 알림부 180: 미리보기 제공부
Claims (7)
- 이메일을 수신하는 이메일 수신부;
상기 이메일 수신부를 통해 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 데이터 추출부;
상기 데이터 추출부를 통해 추출된 각 속성정보를 정규화하여 상기 이메일의 송신자에 대응되어 이력정보로 누적 저장하는 이력 관리부;
상기 누적된 이력정보를 기초로 송신자별로 상기 각 속성에 대한 패턴을 분석하여 패턴정보를 생성하는 패턴 분석부;
상기 데이터 추출부로부터 현재 수신된 최근 이메일에 대하여 상기 각 속성에 대한 속성정보를 수신하고, 상기 패턴 분석부와 연동하여 상기 최근 이메일의 송신자에 대응되어 상기 각 속성에 대한 패턴정보를 생성한 후 상기 최근 이메일의 각 속성정보를 미리 설정된 하나 이상의 기준에 따라 속성별로 상기 각 패턴정보와 비교하여 이상이 발생한 경우 상기 최근 이메일을 위험 이메일로 검출하는 검사부;
상기 검사부를 통해 검출된 상기 위험 이메일을 미리 설정된 임시 저장부에 저장하여 격리시키는 격리부;
상기 격리부와 연동하여 상기 임시 저장부에 상기 위험 이메일 저장시 상기 임시 저장부에 저장된 상기 위험 이메일의 접속 주소가 링크된 알림 메일을 생성하여 상기 위험 이메일에 설정된 수신자의 메일 주소로 전송하는 알림부; 및
상기 접속 주소로 접속한 상기 수신자의 사용자 장치로부터 상기 위험 이메일의 열람 요청을 수신하고, 상기 열람 요청에 따라 상기 사용자 장치에서 열람 가능한 형태로 상기 위험 이메일을 변환하여 상기 위험 이메일의 미리 보기를 상기 사용자 장치에 제공하는 미리보기 제공부를 포함하고,
상기 미리보기 제공부는 상기 위험 이메일을 HTML 또는 이미지 형태로 변환하여 상기 위험 이메일에 대한 미리보기를 제공하는 것을 특징으로 하는 이력을 이용한 지능형 지속 위협 탐지 시스템.
- 청구항 1에 있어서,
상기 각 속성은 송수신자, 경유 국가, 경유 메일 서버 및 메일 클라이언트 중 어느 하나인 것을 특징으로 하는 이력을 이용한 지능형 지속 위협 탐지 시스템.
- 청구항 1에 있어서,
상기 미리 설정된 기준은 메일 클라이언트의 일치여부, 최종 메일 전달 서버의 일치여부, 최초 메일 전달 서버의 일치 여부, 송신자 접속 정보의 일치 여부 및 경유 국가의 일치 여부 중 적어도 하나를 포함하는 것을 특징으로 하는 이력을 이용한 지능형 지속 위협 탐지 시스템.
- 청구항 1에 있어서,
상기 이력정보를 저장하는 저장부를 더 포함하며,
상기 패턴 분석부는 상기 저장부에 누적 저장된 이력정보 중 상기 이력정보에 포함된 시간정보를 기초로 미리 설정된 기간 내에 해당하는 이력정보만을 대상으로 패턴을 분석하여 상기 패턴 정보를 생성하는 것을 특징으로 하는 이력을 이용한 지능형 지속 위협 탐지 시스템.
- 삭제
- 삭제
- 이메일을 수신하여 지능형 지속 위협을 탐지하는 메일 서버의 지능형 지속 위협 탐지 방법에 있어서,
이메일을 수신하는 단계;
상기 수신된 이메일로부터 미리 설정된 서로 다른 속성 각각에 대한 속성정보를 추출하는 단계;
상기 추출된 속성별 속성정보를 상기 각 속성에 대한 이력정보로 누적 저장하는 단계;
현재 수신된 최근 이메일의 송신자에 대응되어 누적된 상기 이력정보를 기초로 상기 각 속성에 대한 패턴을 분석하여 속성별 패턴정보를 생성하는 단계;
상기 최근 이메일로부터 상기 각 속성에 대하여 추출한 속성별 속성정보를 미리 설정된 하나 이상의 기준에 따라 상기 속성별 패턴정보와 비교하여 이상이 발생한 위험 이메일을 검출하는 단계;
상기 검출된 상기 위험 이메일을 미리 설정된 임시 저장부에 저장하여 격리시키는 단계;
상기 임시 저장부에 저장된 상기 위험 이메일의 접속 주소가 링크된 알림 메일을 생성하여 상기 위험 이메일에 설정된 수신자의 메일 주소로 전송하는 단계; 및
상기 접속 주소로 접속한 상기 수신자의 사용자 장치로부터 상기 위험 이메일의 열람 요청을 수신하고, 상기 열람 요청에 따라 상기 사용자 장치에서 열람 가능한 형태로 상기 위험 이메일을 변환하여 상기 위험 이메일의 미리 보기를 상기 사용자 장치에 제공하는 단계를 포함하고,
상기 위험 이메일의 미리 보기를 상기 사용자 장치에 제공하는 단계는 상기 위험 이메일을 HTML 또는 이미지 형태로 변환하여 상기 위험 이메일에 대한 미리보기를 제공하는 것을 특징으로 하는 이력을 이용한 지능형 지속 위협 탐지 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150096184A KR101666614B1 (ko) | 2015-07-06 | 2015-07-06 | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150096184A KR101666614B1 (ko) | 2015-07-06 | 2015-07-06 | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101666614B1 true KR101666614B1 (ko) | 2016-10-14 |
Family
ID=57157333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150096184A KR101666614B1 (ko) | 2015-07-06 | 2015-07-06 | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101666614B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101770228B1 (ko) * | 2016-11-28 | 2017-08-25 | 주식회사 시큐센 | 정책 및 프로파일패턴에 기초한 위협탐지 방법, 장치, 및 컴퓨터-판독가능 매체 |
| KR101770229B1 (ko) * | 2016-11-28 | 2017-08-28 | 주식회사 시큐센 | 사용자별 이용 프로파일에 기초한 위협탐지 방법, 장치, 및 컴퓨터-판독가능 매체 |
| KR102494546B1 (ko) * | 2022-07-22 | 2023-02-06 | (주)기원테크 | 이메일 통신 프로토콜 기반 접속 관리 및 차단 기능을 제공하는 메일 접속 보안 시스템의 메일 보안 처리 장치 및 그 동작 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008545177A (ja) * | 2005-05-05 | 2008-12-11 | シスコ アイアンポート システムズ エルエルシー | 電子メッセージ中での脅威の識別 |
| KR100927240B1 (ko) | 2008-12-29 | 2009-11-16 | 주식회사 이글루시큐리티 | 가상환경을 통한 악성코드탐지방법 |
| KR20100118422A (ko) * | 2009-04-28 | 2010-11-05 | 에스케이 텔레콤주식회사 | 정보보안 증적 추적 시스템 및 방법 |
-
2015
- 2015-07-06 KR KR1020150096184A patent/KR101666614B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008545177A (ja) * | 2005-05-05 | 2008-12-11 | シスコ アイアンポート システムズ エルエルシー | 電子メッセージ中での脅威の識別 |
| KR100927240B1 (ko) | 2008-12-29 | 2009-11-16 | 주식회사 이글루시큐리티 | 가상환경을 통한 악성코드탐지방법 |
| KR20100118422A (ko) * | 2009-04-28 | 2010-11-05 | 에스케이 텔레콤주식회사 | 정보보안 증적 추적 시스템 및 방법 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101770228B1 (ko) * | 2016-11-28 | 2017-08-25 | 주식회사 시큐센 | 정책 및 프로파일패턴에 기초한 위협탐지 방법, 장치, 및 컴퓨터-판독가능 매체 |
| KR101770229B1 (ko) * | 2016-11-28 | 2017-08-28 | 주식회사 시큐센 | 사용자별 이용 프로파일에 기초한 위협탐지 방법, 장치, 및 컴퓨터-판독가능 매체 |
| KR102494546B1 (ko) * | 2022-07-22 | 2023-02-06 | (주)기원테크 | 이메일 통신 프로토콜 기반 접속 관리 및 차단 기능을 제공하는 메일 접속 보안 시스템의 메일 보안 처리 장치 및 그 동작 방법 |
| WO2024019506A1 (ko) * | 2022-07-22 | 2024-01-25 | (주)기원테크 | 이메일 통신 프로토콜 기반 접속 관리 및 차단 기능을 제공하는 메일 접속 보안 시스템의 메일 보안 처리 장치 및 그 동작 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10237282B2 (en) | Data leak protection | |
| US11936604B2 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
| KR101689297B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US6353385B1 (en) | Method and system for interfacing an intrusion detection system to a central alarm system | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US9769688B2 (en) | Device and method for prompting information about Wi-Fi signal | |
| US9027128B1 (en) | Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks | |
| CN103428186A (zh) | 一种检测钓鱼网站的方法及装置 | |
| CN101626368A (zh) | 一种防止网页被篡改的设备、方法和系统 | |
| CN103957201A (zh) | 基于dns的域名信息处理方法、装置及系统 | |
| CN101471897A (zh) | 对电子通讯中可能的错误拼写地址的启发性检测方法 | |
| CN103139193A (zh) | 钓鱼网站处理方法以及系统 | |
| CN111181959A (zh) | 一种基于邮件数据的威胁情报知识图谱构建方法及装置 | |
| KR101666614B1 (ko) | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 | |
| US10659493B2 (en) | Technique for detecting malicious electronic messages | |
| CN111147489A (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
| CN111404939A (zh) | 邮件威胁检测方法、装置、设备及存储介质 | |
| US20190044975A1 (en) | Automated processing of suspicious emails submitted for review | |
| WO2018081016A1 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
| US20150256505A1 (en) | Electronic mail monitoring | |
| CN103812852A (zh) | 用户终端、未授权网站信息管理服务器及相应方法和程序 | |
| KR20140126633A (ko) | 악성 메시지 검사 방법 및 장치 | |
| CN109768949B (zh) | 一种端口扫描处理系统、方法及相关装置 | |
| CN114172721B (zh) | 恶意数据防护方法、装置、电子设备及存储介质 | |
| KR101605764B1 (ko) | 지능형 지속 위협 탐지를 위한 이력 비교 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20191010 Year of fee payment: 4 |