KR101697189B1 - 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법 - Google Patents

시나리오 기반 사이버 공격 이력 추적 시스템 및 방법 Download PDF

Info

Publication number
KR101697189B1
KR101697189B1 KR1020150121953A KR20150121953A KR101697189B1 KR 101697189 B1 KR101697189 B1 KR 101697189B1 KR 1020150121953 A KR1020150121953 A KR 1020150121953A KR 20150121953 A KR20150121953 A KR 20150121953A KR 101697189 B1 KR101697189 B1 KR 101697189B1
Authority
KR
South Korea
Prior art keywords
attack
event
scenario
threat
analysis
Prior art date
Application number
KR1020150121953A
Other languages
English (en)
Inventor
조성영
박무성
정현숙
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020150121953A priority Critical patent/KR101697189B1/ko
Application granted granted Critical
Publication of KR101697189B1 publication Critical patent/KR101697189B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 시나리오 기반 사이버 공격 이력 추적 시스템은 공격 이벤트를 수신하는 공격 이벤트 수신부(13), 수신된 공격 이벤트에 대한 이전 이벤트를 이용하여 사이버 공격을 추적하는 다단계 공격 분석부(15), 사이버 공격 이력 추적을 시각화하는 공격 이벤트 시각부(17)로 구성된 시나리오 수행 장치(10); 를 포함함으로써 다양한 보안 솔루션에서 발생하는 이벤트 로그, 시스템의 로그, 네트워크 패킷 기반의 트래픽 분석 정보를 상호 연관 분석하고, 특정 공격이 식별된 후 공격 이벤트로 저장되며, 공격 이벤트의 생성 시 저장된 공격 이벤트를 이용하여 시나리오 기반의 다단계 공격 분석이 이루어지는 특징을 구현한다.

Description

시나리오 기반 사이버 공격 이력 추적 시스템 및 방법{System and Method for Cyber Attack History Tracking based on Scenario}
본 발명은 사이버 공격에 관한 것으로, 특히 식별된 특정 공격들을 이용한 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법에 관한 것이다.
일반적으로 사이버 공격을 방어하고 대응하는 수단은 네트워크 장치와 애플리케이션 수준 솔루션으로 구현되고, 감사(audit) 목적이나 침해사고를 당하였을 때 사고 분석 및 대응을 위해 시스템의 로그 보관이 이루어진다.
네트워크 장치에 의한 사이버 공격 방어는 라우터, 스위치와 같은 네트워크 장치, 침입탐지시스템(IDS; Intrusion Detection System), 방화벽과 같은 범용 네트워크 보안 장치, 웹 방화벽(WAF; Web Application Firewall), 안티 DDoS 장비와 같은 애플리케이션 수준 네트워크 보안 장치 등이 있다.
애플리케이션 수준 솔루션에 의한 사이버 공격 방어는 디지털 저작권 관리(DRM; Digital Rights Management), 안티바이러스(AV; Anti Virus) 등이 있다.
최근 들어 사이버 공격은 발생 빈도가 잦아지고, 그 방법 또한 정교해지고 있다. 이러한 사이버 공격의 예로, 특정 조직을 대상으로 오랜 시간 지속적으로 공격을 수행하여 데이터의 유출과 같은 공격 목표를 달성하는 지능형 지속적 위협(APT; Advanced Persistent Threat), 서비스 거부 공격(DoS; Denial of Service)/분산 서비스 거부 공격(Distributed Denial of Service) 등이 있다.
그러므로, 사이버 공격을 방어하고 대응하는 수단도 다양한 보안 솔루션으로부터 수집되는 정보와 시스템의 로그를 분석하여 대응하도록 발전되고 있다.
일례로, 전사적 보안 관리 시스템(ESM; Enterprise Security Management), 보안 정보 이벤트 시스템(SIEM; Security Information and Event System) 등을 예로 들 수 있다.
더 나아가, 전사적 보안 관리 시스템이나 보안 정보 이벤트 시스템과 비슷하게 다양한 로그를 통합하여 관리하여, 로그의 검색, 조회 및 시스템의 상태 파악과 다양한 사이버 공격을 탐지하고 대응하기 위한 기술이 개발되고 있다.
국내특허공개공보 10-2015-0008158(2015.01.21) 국내등록특허 10-0819049(2008.03.27)
하지만, 사이버 공격의 방어 수단은 현재 사이버 공간의 상황을 정확히 인식하지 못함으로써 사이버 공격의 효과적인 방어와 대응이 이루어지지 못하는 한계를 가질 수밖에 없다.
특히, 현재의 사이버 공격은 일회성에 그치는 것이 아니라 공격 목표를 달성하기 위해 공격자가 장시간 동안 여러 공격 방법들을 순차적으로 수행하는 경향을 보이고 있다. 그러므로, 이러한 사이버 공격을 효과적으로 방어하고 대응하기 위해서는 현재 사이버 공간의 상황을 정확히 인식하는 것이 더욱 중요할 수밖에 없다.
이에 상기와 같은 점을 감안한 본 발명은 다양한 보안 솔루션에서 발생하는 이벤트 로그, 시스템의 로그, 네트워크 패킷 기반의 트래픽 분석 정보를 상호 연관 분석함으로써 특정 공격이 식별된 후 공격 이벤트로 저장되고, 공격 이벤트의 생성 시 저장된 공격 이벤트를 이용하여 시나리오 기반의 다단계 공격 분석이 수행되는 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법의 제공에 목적이 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 시나리오 기반 사이버 공격 이력 추적 시스템은 공격 이벤트를 수신하는 공격 이벤트 수신부, 수신된 공격 이벤트에 대한 이전 이벤트를 이용하여 사이버 공격을 추적하는 다단계 공격 분석부, 사이버 공격 이력 추적을 시각화하는 공격 이벤트 시각부로 구성된 시나리오 수행 장치; 를 포함하는 것을 특징으로 한다.
바람직한 실시예로서, 상기 공격 이벤트 수신부가 수신하는 상기 공격 이벤트는 보안 솔루션 이벤트 로그, 시스템 로그, 네트워크 트래픽 분석 정보 중 어느 하나로부터 생성된다. 상기 다단계 공격 분석부는 상기 이전 이벤트를 수신된 공격 이벤트 및 공격 이벤트가 저장된 공격 이벤트 DB로 검색과 사이버 공격추적을 수행한다. 상기 공격 이벤트 시각부의 상기 시각화는 공격목록표시와 특정공격이벤트의 순차적 나열 및 기호형태요약 및 해당 공격 이벤트의 발생 일시, 공격명, 출발지 IP의 요약 정보를 포함한다. 상기 공격 이벤트 수신부는 단일 공격 분석장치로부터 상기 공격 이벤트를 수신하고, 상기 단일 공격 분석장치는 보안솔루션 이벤트 로그의 보안 솔루션 이벤트 로그 데이터, 시스템 로그의 시스템 로그 데이터, 네트워크 트래픽 분석 정보의 네트워크 트래픽 분석 데이터로부터 데이터 상관분석에 의해 상기 공격 이벤트 생성한다. 상기 다단계 공격 분석부는 연관분석 테이블 DB의 현재 공격 코드, 이전 공격 코드 및 우선순위의 정보로 상기 이전 이벤트를 검출하고, 상기 공격 이벤트에 대한 시나리오 기반의 사이버 공격 이력 추적을 수행하고, 분석 결과를 공격 이벤트 DB에 저장한다. 상기 공격 이벤트 DB는 상기 공격 이벤트를 시간순나열, 각 시간순나열은 공격코드, 위협명, 위협종류, 출발지IP, 목적지 IP를 포함하며; 상기 연관분석 테이블 DB는 시나리오 기반의 사이버 공격 이력 추적을 위해 사용되는 현재 공격 코드와 이전 공격 코드를 우선순위로 구성한다.
또한, 상기와 같은 목적을 달성하기 위한 본 발명의 시나리오 수행 장치가 수신된 위협 이벤트와 위협 이벤트 DB로부터 현재 공격 코드, 이전 공격 코드 및 우선순위로 구성된 연관분석 테이블을 이용하여 시나리오 기반의 사이버 공격 이력 추적을 함에 있어서, (a) 현재 위협 이벤트에 대해 이전에 올 수 있는 위협 이벤트를 확인하는 단계; (b) 상기 (a)단계에서 확인된 위협 이벤트 중 위협 이벤트 DB에 실제로 존재하는 위협 이벤트를 확인하는 단계; (c) 상기 (b)단계에서 확인된 위협 이벤트 중 현재 위협 이벤트와 비교하여 출발지 IP 또는 목적지 IP와 일치하는 위협 이벤트를 확인하는 단계; (d) 상기 (c)단계에서 확인된 위협 이벤트 중 연관분석 테이블을 참조하여 가장 높은 우선순위를 갖는 위협 이벤트를 확인하는 단계; (e) 상기 (d)단계에서 확인된 위협 이벤트 중 가장 최신의 위협 이벤트를 확인하는 단계; (f) 더 이상 연결 가능한 이전 공격 이벤트가 없을 때까지 반복하는 단계; (g) 시각화 공격 분석 결과를 생성하는 단계;로 수행되는 것을 특징으로 한다.
바람직한 실시예로서, 보안 솔루션 이벤트 로그 데이터, 시스템 로그 데이터, 네트워크 트래픽 분석 데이터로부터 데이터 상관분석으로 생성된 공격 이벤트가 시나리오 수행 장치에 의해 수신되는 단계; 상기 공격 이벤트에 대해 가능한 이전 이벤트 검출, 상기 이전 이벤트 검출 시 실제 이전 이벤트의 검출여부판단, 상기 실제 이전 이벤트의 검출 시 출발지IP나 목적지IP의 IP일치여부판단, 상기 IP일치 시 상기 이전 이벤트 중 우선순위가 가장 높아 위협이 되는 공격이벤트로 판단되는 최우선공격이벤트선택이 위협이벤트DB와 연계되어 상기 시나리오 수행 장치에 의해 수행되는 단계; 상기 최우선공격이벤트선택의 과정이 상기 공격 이벤트가 없을 때까지 상기 시나리오 수행 장치에 의해 반복 수행되는 단계; 상기 반복수행의 결과가 상기 시나리오 수행 장치에 의해 사이버 공격 이력추적시각화되는 단계;로 수행되고, 상기 사이버 공격 이력추적시각화는 최신 공격 목록에 나타난 공격 이벤트를 선택하였을 때 이와 연관된 이전 위협 이벤트를 시간 순서에 따라 부호로 표현된 형태로 정렬되어 표현하고, 부호를 가리켰을 때 발생 일시, 공격명, 출발지 IP, 목적지 IP 등을 포함하는 해당 위협 이벤트의 간략한 정보를 보여주며, 해당 부호를 선택하였을 때 해당 위협 이벤트의 정보를 보여준다.
바람직한 실시예로서, 상기 IP일치여부판단은 상기 공격 이벤트의 목적지 IP와 출발지 IP 확인으로 확정되는 phase 1과, 상기 공격 이벤트의 출발지 IP와 상기 실제 이전 이벤트의 목적지 IP 확인으로 확정되는 phase 2로 구분되며, 상기 phase 1은 상기 phase 2의 수행이전에 먼저 수행되고, 상기 phase 2는 상기 phase 1에서 상기 IP일치여부판단이 확인되지 않은 경우에 수행된다.
이러한 본 발명의 시나리오 기반의 다단계 공격 분석 방법은 현재 발생된 공격 이벤트에 대해 이전에 발생하였던 공격 이벤트들을 연관분석하고 제시함으로써 현재 공격과 관련한 공격 맥락을 파악하고 효과적으로 대응하는 효과가 있다.
또한, 본 발명의 시나리오 기반의 다단계 공격 분석 시스템은 시나리오 기반의 다단계 공격 분석을 통하여 현재까지 공격자가 수행한 공격 흐름을 파악함으로써 관리자가 향후 공격의 진행 단계 및 방향을 예측하는 데 도움을 주어 사전에 대응할 수 있도록 하는 효과가 있다.
도 1은 본 발명에 따른 시나리오 기반 사이버 공격 이력 추적 시스템의 블록 구성도이고, 도 2,3,4의 각각은 본 발명에 따른 시나리오 기반 사이버 공격 이력 추적 종료 후 사이버 공격 이력 추적 시스템에서 생성되는 시각화 공격 분석 결과와 공격 이벤트 테이블 및 연관분석 테이블의 예이며, 도 5는 본 발명에 따른 시나리오 기반 사이버 공격 이력 추적 방법의 순서도이며, 도 6은 본 발명에 따른 시나리오 기반 사이버 공격 이력 추적 방식에 의한 사이버 공격 이력 추적 시스템의 동작 상태이고, 도 7은 본 발명에 따른 공격 이벤트 테이블과 연관분석 테이블의 이용예이다.
이하 본 발명의 실시예를 첨부된 예시도면을 참조로 상세히 설명하며, 이러한 실시예는 일례로서 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 여러 가지 상이한 형태로 구현될 수 있으므로, 여기에서 설명하는 실시예에 한정되지 않는다.
도 1은 본 실시예에 따른 시나리오 기반 사이버 공격 이력 추적 시스템의 블록 구성을 나타낸다.
도시된 바와 같이, 사이버 공격 이력 추적 시스템은 시나리오 수행 장치(10)를 주요 구성요소로 하고, 상기 시나리오 수행 장치(10)는 단일 공격 분석장치(20), 로그기록장치(30), 위협 이벤트 DB(40)를 이용하여 시스템으로 구축되거나 또는 연계하여 시스템으로 구축된다.
구체적으로, 상기 시나리오 수행 장치(10)는 공격 이벤트 수신부(13), 다단계 공격 분석부(15), 공격 이벤트 시각부(17)로 구성된다. 상기 공격 이벤트 수신부(13)는 단일 공격 분석장치(20)에서 생성된 공격 이벤트를 수신한다. 상기 다단계 공격 분석부(15)는 수신된 공격 이벤트 및 공격 이벤트가 저장된 공격이벤트 DB를 이용하여 사이버 공격을 추적하고, 상기 공격 이벤트 DB는 위협 이벤트 DB(40)를 구성한다. 상기 공격 이벤트 시각부(17)는 다단계 공격 분석부(15)로부터 분석된 결과를 시각화한다. 이때, 상기 시각화는 공격목록표시와 특정공격이벤트의 순차적 나열 및 기호형태요약 및 해당 공격 이벤트의 요약 정보(발생 일시, 공격명, 출발지 IP 등)를 도시한다. 그러므로, 상기 시나리오 수행 장치(10)는 보안 솔루션 이벤트 로그, 시스템 로그, 네트워크 트래픽 분석 정보를 이용하여 다양한 정보를 수집하고 분석하여 특정 공격들을 식별한 후, 이들을 이용하여 시나리오 기반의 사이버 공격의 이력을 추적하고 대응하고, 이러한 과정을 더 이상 연결 가능한 이전 공격 이벤트가 없을 때까지 반복한다. 특히, 시나리오 기반의 분석 결과는 시각화 형태로 도시화된다.
구체적으로, 상기 단일 공격 분석장치(20)는 로그기록장치(30)와 연계됨으로써 보안 솔루션 이벤트 로그, 시스템 로그, 네트워크 트래픽 분석 정보를 이용하고, 이를 이용함으로써 데이터 상관분석에 의해 공격 이벤트를 생성한다.
구체적으로, 상기 로그기록장치(30)는 보안솔루션 이벤트 로그(31)와 시스템 로그(33) 및 네트워크 트래픽 분석 정보(35)로 구분됨으로써 단일 공격 분석장치(20)가 보안 솔루션 이벤트 로그, 시스템 로그, 네트워크 트래픽 분석 정보의 형태로 이용할 수 있다.
구체적으로, 상기 위협 이벤트 DB(40)는 공격 이벤트 DB(41)와 연관분석 테이블 DB(43)로 구성된다. 상기 공격 이벤트 DB(41)는 다단계 공격 분석부(15)에서 분석된 공격 이벤트를 저장하고, 단일 공격 분석장치(20)로 제공된다. 상기 연관분석 테이블 DB(43)는 시나리오 기반의 사이버 공격 이력 추적을 위해 사용되는 현재 공격 코드, 이전 공격 코드 및 우선순위로 데이터가 구축되고, 다단계 공격 분석부(15)로 제공된다.
한편, 도 2,3,4의 각각은 시각화 공격 분석 결과(10-1)와 공격 이벤트 테이블(41-1) 및 연관분석 테이블(43-1)의 예를 나타낸다.
도 2를 참조하면, 상기 시각화 공격 분석 결과(10-1)는 시나리오 수행 장치(10)의 공격 이벤트 시각부(17)에서 도시화된다. 도시화 항목은 다수의 공격 이벤트가 기호 형태로 나열되고, 각각의 기호에는 해당 공격 이벤트의 요약 정보(발생 일시, 공격명, 출발지 IP 등)로 구분된다.
도 3을 참조하면, 상기 공격 이벤트 테이블(41-1)은 다단계 공격 분석부(15)에서 분석된 공격 이벤트를 저장하고, 공격 이벤트는 시간순으로 나열되며, 각 시간순나열에는 공격코드, 위협명, 위협종류, 출발지IP, 목적지 IP가 포함된다.
도 4를 참조하면, 상기 연관분석 테이블(43-1)은 시나리오 기반의 사이버 공격 이력 추적을 위해 사용되는 현재 공격 코드와 이전 공격 코드를 포함하고, 이들이 우선순위로 구성된다.
한편, 도 5는 본 실시예에 따른 시나리오 기반 사이버 공격 이력 추적 방법을 나타낸다.
도시된 바와 같이, 시나리오 기반 사이버 공격 이력 추적 방법은 수신된 공격 이벤트에 대해 저장된 연관분석 테이블(43-1)과, 공격 이벤트 테이블(41-1)을 이용하여 시나리오 기반의 다단계 공격 분석을 수행한다. 이러한 과정은 더 이상 연결 가능한 이전 공격 이벤트가 없을 때까지 반복된다.
이하, 시나리오 기반 사이버 공격 이력 추적 방법을 도 6내지 도 7을 참조로 상세히 설명한다.
S10은 시나리오 수행 장치(10)에서 공격 이벤트를 인식하는 단계이다. 이는, 공격 이벤트 수신부(13)가 단일 공격 분석장치(20)로부터 공격 이벤트를 수신함으로써 시작된다. 이 경우, 단일 공격 분석장치(20)는 로그기록장치(30)와 연계되어 솔루션 이벤트 로그, 시스템 로그, 네트워크 트래픽 분석 정보를 분석한다.
S20내지 S60은 시나리오 수행 장치(10)에서 시나리오에 따라 공격 이벤트를 분석하는 단계이다. 이는, 다단계 공격 분석부(15)가 수신된 공격 이벤트 및 공격 이벤트가 저장된 위협 이벤트 DB(40)를 이용하여 사이버 공격을 추적함으로써 시작된다.
다단계 공격 분석부(15)는 가능한 이전 이벤트를 검출하고(S20), 이전 이벤트 검출 시 실제 이전 이벤트가 검출되는지 판단하며(S30), 실제 이전 이벤트 검출 시 출발지IP나 목적지IP의 일치 여부를 판단하고(S41-S43), IP 일치 시 이전 이벤트중 우선순위가 가장 높은 공격 이벤트를 선택하며(S50), 이를 통해 위협이 되는 공격 이벤트를 판단한다(S60). 이를 위해, 상기 다단계 공격 분석부(15)는 공격 이벤트 DB(41)와 연관분석 테이블 DB(43)를 검색하고, 공격 이벤트 테이블(41-1)과 연관분석 테이블(43-1)을 서로 연계(도 7참조)시켜줌으로써 구현된다.
특히, S41-S43의 IP의 일치 여부판단을 위해 상기 다단계 공격 분석부(15)는 phase 1과 phase 2의 2단계로 구분하여 수행하고, 이를 통해 S10의 수신된 현재위협이벤트가 위협이벤트임을 보다 신속하게 판단할 수 있다. 상기 phase 1은 개별IP방식으로서 S41의 목적지 IP 일치성으로 1차 확인한 후 이어 S42의 출발지 IP 일치성으로 2차 확인한다. 일례로, S41에서 S10의 현재위협이벤트의 목적지 IP가 S30의 실제 이전 이벤트의 목적지 IP와 일치성이 확인되거나 S42에서 S10의 현재위협이벤트의 출발지 IP가 S30의 실제 이전 이벤트의 출발지 IP와 일치성이 확인되면, S10의 현재위협이벤트는 공격이벤트로 확정되어 신속하게 S50으로 전환될 수 있다. 반면, phase 2는 혼합IP방식으로서 S43에서 S10의 현재위협이벤트의 출발지 IP가 S30의 실제 이전 이벤트의 목적지 IP와 일치성이 확인되면, S10의 현재위협이벤트는 공격이벤트로 확정된 후 S50으로 전환된다.
S70은 다단계 공격 분석부(15)가 공격 이벤트가 없을 때까지 S20내지 S60의 단계를 반복 수행함을 의미한다.
S80은 시나리오 수행 장치(10)에서 수행된 공격 이벤트를 결과를 시각화하는 단계이다. 이는, 공격 이벤트 시각부(17)가 다단계 공격 분석부(15)의 수행 결과와 공격 이벤트 DB(41)와 연관분석 테이블 DB(43)를 연계시켜 사이버 공격 이력 추적을 시각화하는 방법을 다음과 같이 구현한다. 첫째, 최신 공격 목록에 나타난 공격 이벤트를 선택하였을 때 이와 연관된 이전 위협 이벤트를 시간 순서에 따라 부호로 표현된 형태로 정렬되어 표현하여 준다. 둘째, 부호를 가리켰을 때 발생 일시, 공격명, 출발지 IP, 목적지 IP 등을 포함하는 해당 위협 이벤트의 간략한 정보를 보여준다. 셋째, 해당 부호를 선택하였을 때 해당 위협 이벤트의 정보를 보여준다.
그 결과, 상기 공격 이벤트 시각부(17)는 시각화 공격 분석 결과(10-1)로 출력한다. 상기 시각화 공격 분석 결과(10-1)는 공격 목록으로 구분되고, 상기 공격 목록은 최신(약 30분에서 3시간 정도)의 공격 목록을 표시하며, 특정 공격 이벤트 선택 시 가로와 같이 기호 형태로 요약된 이전 공격 목록이 가장 최신의 것부터 오래된 순으로 왼쪽에서 세로로 도시되고, 특정 기호는 해당 공격 이벤트의 요약 정보(발생 일시, 공격명, 출발지 IP 등)를 도시한다. 그러므로, 도시화 항목은 다수의 공격 이벤트가 기호 형태로 나열되고, 각각의 기호에는 해당 공격 이벤트의 요약 정보(발생 일시, 공격명, 출발지 IP 등)로 구분된다.
전술된 바와 같이, 본 실시예에 따른 시나리오 기반 사이버 공격 이력 추적 시스템은 공격 이벤트를 수신하는 공격 이벤트 수신부(13), 수신된 공격 이벤트에 대한 이전 이벤트를 이용하여 사이버 공격을 추적하는 다단계 공격 분석부(15), 사이버 공격 이력 추적을 시각화하는 공격 이벤트 시각부(17)로 구성된 시나리오 수행 장치(10)를 포함함으로써 다양한 보안 솔루션에서 발생하는 이벤트 로그, 시스템의 로그, 네트워크 패킷 기반의 트래픽 분석 정보를 상호 연관 분석하고, 특정 공격이 식별된 후 공격 이벤트로 저장되며, 공격 이벤트의 생성 시 저장된 공격 이벤트를 이용하여 시나리오 기반의 다단계 공격 분석이 이루어질 수 있다.
10 : 시나리오 수행 장치 10-1 : 시각화 공격 분석 결과
13 : 공격 이벤트 수신부
15 : 다단계 공격 분석부 17 : 공격 이벤트 시각부
20 : 단일 공격 분석장치
30 : 로그기록장치
31 : 보안솔루션 이벤트 로그
33 : 시스템 로그 35 : 네트워크 트래픽 분석 정보
40 : 위협 이벤트 DB
41 : 공격 이벤트 DB 41-1 : 공격 이벤트 테이블
43 : 연관분석 테이블 DB 43-1 : 연관분석 테이블

Claims (18)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 보안 솔루션 이벤트 로그 데이터, 시스템 로그 데이터, 네트워크 트래픽 분석 데이터로부터 데이터 상관분석으로 생성된 공격 이벤트가 시나리오 수행 장치에 의해 수신되는 단계;
    상기 공격 이벤트에 대해 가능한 이전 이벤트 검출, 상기 이전 이벤트 검출 시 실제 이전 이벤트의 검출여부판단, 상기 실제 이전 이벤트의 검출 시 출발지IP나 목적지IP의 IP일치여부판단, 상기 IP일치 시 상기 이전 이벤트 중 우선순위가 가장 높아 위협이 되는 공격이벤트로 판단되는 최우선공격이벤트선택이 위협이벤트DB와 연계되어 상기 시나리오 수행 장치에 의해 수행된 후 상기 최우선공격이벤트가 위협이 되는 공격 이벤트로 판단되는 단계;
    상기 위협이 되는 공격 이벤트로 판단되는 과정이 상기 공격 이벤트가 없을 때까지 상기 시나리오 수행 장치에 의해 반복수행되는 단계;
    상기 반복수행의 결과가 상기 시나리오 수행 장치에 의해 사이버 공격 이력추적시각화되는 단계;로 수행되고,
    상기 위협이 되는 공격 이벤트의 선택은 상기 목적지 IP가 상기 실제 이전 이벤트의 목적지 IP와 일치성이 확인되 어 상기 최우선공격이벤트선택이 이루어지는 제1단계의 phase 1과 상기 목적지 IP가 일치하지 않은 상태에서 상기 출발지 IP가 상기 실제 이전 이벤트의 상기 출발지 IP와 일치성이 확인되어 상기 최우선공격이벤트선택이 이루어지는 제2단계의 phase 1과, 상기 phase 1의 수행 후에도 상기 phase 1에서 상기 IP일치여부판단이 확인되지 않은 경우 상기 공격 이벤트의 출발지 IP와 상기 실제 이전 이벤트의 목적지 IP의 일치성이 확인되어 상기 최우선공격이벤트선택이 이루어지는 제3단계의 phase 2로 구분되며;
    상기 사이버 공격 이력추적시각화의 생성은 상기가능한이전이벤트검출이없는경우이루어지는제1단계, 상기 실제 이전 이벤트 검출이 없는 경우 이루어지는 제2단계, 상기 phase 2에서 상기 공격 이벤트의 출발지 IP와 상기 실제 이전 이벤트의 목적지 IP의 일치성이 확인되지 않는 경우 이루어지는 제3단계로 구분되는
    것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적 방법.
  9. 삭제
  10. 삭제
  11. 청구항 8에 있어서, 상기 사이버 공격 이력추적시각화는 최신 공격 목록에 나타난 공격 이벤트를 선택하였을 때 이와 연관된 이전 위협 이벤트를 시간 순서에 따라 부호로 표현된 형태로 정렬되어 표현하고, 부호를 가리켰을 때 발생 일시, 공격명, 출발지 IP, 목적지 IP 등을 포함하는 해당 위협 이벤트의 간략한 정보를 보여주며, 해당 부호를 선택하였을 때 해당 위협 이벤트의 정보를 보여주는 것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적 방법.
  12. 청구항 8 또는 청구항 11에 의한 시나리오 기반 사이버 공격 이력 추적 방법이 구현되는 시나리오 기반 사이버 공격 이력 추적 시스템에 있어서,
    공격 이벤트를 수신하는 공격 이벤트 수신부, 수신된 공격 이벤트에 대한 이전 이벤트를 이용하여 사이버 공격을 추적하는 다단계 공격 분석부, 사이버 공격 이력 추적을 시각화하는 공격 이벤트 시각부로 구성된 시나리오 수행 장치;를 포함하는 것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적 시스템.
  13. 청구항 12에 있어서, 상기 공격 이벤트 수신부가 수신하는 상기 공격 이벤트는 보안 솔루션 이벤트 로그, 시스템 로그, 네트워크 트래픽 분석 정보 중 어느 하나로부터 생성되는 것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적 시스템.
  14. 청구항 12에 있어서, 상기 다단계 공격 분석부는 상기 이전 이벤트를 수신된 공격 이벤트 및 공격 이벤트가 저장된 공격 이벤트 DB로 검색과 사이버 공격추적을 수행하는 것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적 시스템.
  15. 청구항 12에 있어서, 상기 공격 이벤트 시각부의 상기 시각화는 공격목록표시와 특정공격이벤트의 순차적 나열 및 기호형태요약 및 해당 공격 이벤트의 발생 일시, 공격명, 출발지 IP의 요약 정보를 포함하는 것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적 시스템.
  16. 청구항 12에 있어서, 상기 공격 이벤트 수신부는 단일 공격 분석장치로부터 상기 공격 이벤트를 수신하고, 상기 단일 공격 분석장치는 보안솔루션 이벤트 로그의 보안 솔루션 이벤트 로그 데이터, 시스템 로그의 시스템 로그 데이터, 네트워크 트래픽 분석 정보의 네트워크 트래픽 분석 데이터로부터 데이터 상관분석에 의해 상기 공격 이벤트를 생성하는 것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적시스템.
  17. 청구항 12에 있어서, 상기 다단계 공격 분석부는 연관분석 테이블 DB의 현재 공격 코드, 이전 공격 코드 및 우선순위의 정보로 상기 이전 이벤트를 검출하고, 상기 공격 이벤트에 대한 시나리오 기반의 사이버 공격 이력 추적을 수행하고, 분석 결과를 공격 이벤트 DB에 저장하는 것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적 시스템.
  18. 청구항 17에 있어서, 상기 공격 이벤트 DB는 상기 공격 이벤트를 시간순나열, 각 시간순나열은 공격코드, 위협명, 위협종류, 출발지IP, 목적지 IP를 포함하며; 상기 연관분석 테이블 DB는 시나리오 기반의 사이버 공격 이력 추적을 위해 사용되는 현재 공격 코드와 이전 공격 코드를 우선순위로 구성하는 것을 특징으로 하는 시나리오 기반 사이버 공격 이력 추적 시스템.
KR1020150121953A 2015-08-28 2015-08-28 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법 KR101697189B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150121953A KR101697189B1 (ko) 2015-08-28 2015-08-28 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150121953A KR101697189B1 (ko) 2015-08-28 2015-08-28 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101697189B1 true KR101697189B1 (ko) 2017-01-17

Family

ID=57990585

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150121953A KR101697189B1 (ko) 2015-08-28 2015-08-28 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101697189B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109660539A (zh) * 2018-12-20 2019-04-19 北京神州绿盟信息安全科技股份有限公司 失陷设备识别方法、装置、电子设备及存储介质
CN109672909A (zh) * 2018-11-08 2019-04-23 北京奇虎科技有限公司 数据处理方法、装置、电子设备及可读存储介质
KR101986738B1 (ko) * 2018-11-28 2019-06-07 (주)시큐레이어 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
KR102155336B1 (ko) * 2020-01-29 2020-09-11 주식회사 이글루시큐리티 시간별 스캐닝을 제공하는 보안 관제 대시보드 시스템 및 이를 활용한 보안 관제 방법
CN113821793A (zh) * 2021-08-27 2021-12-21 北京工业大学 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN114124516A (zh) * 2021-11-19 2022-03-01 上海纽盾科技股份有限公司 态势感知预测方法、装置及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052843A (ko) * 2001-12-21 2003-06-27 주식회사 케이티 네트웍 침입자 역추적 시스템 및 방법
JP2005175714A (ja) * 2003-12-09 2005-06-30 Kenji Ishida ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
KR100819049B1 (ko) 2006-12-06 2008-04-02 한국전자통신연구원 침입 상황 분석 및 대응 장치 그리고 그 장치가 공격탐지경보를 n차 분면 연관 그래프로 표현하는 방법
KR20100075043A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR20150008158A (ko) 2012-05-01 2015-01-21 해리스 코포레이션 섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052843A (ko) * 2001-12-21 2003-06-27 주식회사 케이티 네트웍 침입자 역추적 시스템 및 방법
JP2005175714A (ja) * 2003-12-09 2005-06-30 Kenji Ishida ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
KR100819049B1 (ko) 2006-12-06 2008-04-02 한국전자통신연구원 침입 상황 분석 및 대응 장치 그리고 그 장치가 공격탐지경보를 n차 분면 연관 그래프로 표현하는 방법
KR20100075043A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR20150008158A (ko) 2012-05-01 2015-01-21 해리스 코포레이션 섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672909A (zh) * 2018-11-08 2019-04-23 北京奇虎科技有限公司 数据处理方法、装置、电子设备及可读存储介质
KR101986738B1 (ko) * 2018-11-28 2019-06-07 (주)시큐레이어 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
CN109660539A (zh) * 2018-12-20 2019-04-19 北京神州绿盟信息安全科技股份有限公司 失陷设备识别方法、装置、电子设备及存储介质
CN109660539B (zh) * 2018-12-20 2020-12-25 北京神州绿盟信息安全科技股份有限公司 失陷设备识别方法、装置、电子设备及存储介质
KR102155336B1 (ko) * 2020-01-29 2020-09-11 주식회사 이글루시큐리티 시간별 스캐닝을 제공하는 보안 관제 대시보드 시스템 및 이를 활용한 보안 관제 방법
CN113821793A (zh) * 2021-08-27 2021-12-21 北京工业大学 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN113821793B (zh) * 2021-08-27 2023-12-19 北京工业大学 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN114124516A (zh) * 2021-11-19 2022-03-01 上海纽盾科技股份有限公司 态势感知预测方法、装置及系统
CN114124516B (zh) * 2021-11-19 2023-08-22 上海纽盾科技股份有限公司 态势感知预测方法、装置及系统

Similar Documents

Publication Publication Date Title
KR101697189B1 (ko) 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법
US11102223B2 (en) Multi-host threat tracking
US11405419B2 (en) Preventing advanced persistent threat attack
CN108696473B (zh) 攻击路径还原方法及装置
Almohannadi et al. Cyber threat intelligence from honeypot data using elasticsearch
CN111490970A (zh) 一种网络攻击的溯源分析方法
CN111756759B (zh) 一种网络攻击溯源方法、装置及设备
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
CN110719291A (zh) 一种基于威胁情报的网络威胁识别方法及识别系统
Cho et al. Cyber kill chain based threat taxonomy and its application on cyber common operational picture
CN110460481B (zh) 一种网络关键资产的识别方法
CN110099044A (zh) 云主机安全检测系统及方法
Debashi et al. Sonification of network traffic for detecting and learning about botnet behavior
CN113704059A (zh) 业务资产的防护方法、装置、电子设备和存储介质
Awadi et al. Multi-phase IRC botnet and botnet behavior detection model
Al-Hamami et al. Development of a network-based: Intrusion Prevention System using a Data Mining approach
Bahareth et al. Constructing attack scenario using sequential pattern mining with correlated candidate sequences
Kim et al. A study on a cyber threat intelligence analysis (CTI) platform for the proactive detection of cyber attacks based on automated analysis
US7546637B1 (en) Structures and methods for using geo-location in security detectors
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
KR102443486B1 (ko) 위협 경보 유형 디스플레이 장치 및 방법
CN113055362B (zh) 异常行为的预防方法、装置、设备及存储介质
KR101518233B1 (ko) 기업 내부 전산환경의 위협탐지를 위한 보안 장치
CN114189361A (zh) 防御威胁的态势感知方法、装置及系统
Oktadika et al. Hunting cyber threats in the enterprise using network defense log

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 4